· 2021/08/24
阿里云安全团队向Oracle官方报告了MySQL JDBC XXE漏洞
· 2021/08/24
阿里云WAF更新防护策略
· 2021/10/20
Oracle官方发布了漏洞补丁,分配CVE编号为CVE-2021-2471,并向阿里云安全团队公开致谢
· 2021/10/21
阿里云安全发布漏洞风险提示
这个漏洞是由于MySQL JDBC 8.0.27版本之前,存在``getSource()``方法未对传入的XML数据做校验,导致攻击者可以在XML数据中引入外部实体,造成XXE攻击。进入getSource方法,简单做了判断,当是DOMSource类型时,则使用 ``DocumentBuilder`` 对XML数据做解析!
这一步没有做任何安全相关的校验和判断,直接实例化对象,从而可以在XML中引入外部实体,造成XXE攻击。
而在MySQL JDBC 8.0.27版本开始设置了安全属性在对象实例化之前做了校验
https://www.oracle.com/security-alerts/cpuoct2021.html
文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MzY2MzM0Mw==&mid=2247486186&idx=1&sn=232d266b6bce469837380a71a5390050&chksm=ec6fedeadb1864fc3a723f9a65a52e882659b164d8bd17f424d0e9ea62a4ebce62416c4b6020&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh