Monty Program & SkySQL：关于在 MariaDB 和 MySQL 中发现严重安全漏洞的声明

过去几天，围绕 MariaDB 和 MySQL 中的新安全漏洞展开了广泛讨论。

当 Monty Program 公开披露他们发现的漏洞以及如何确保修复你的 MariaDB 和 MySQL 安装时，这一切引发了连锁反应。最初的信息被分配了安全漏洞标识符 CVE-2012-2122，其内容可以在这里看到，例如 http://seclists.org/oss-sec/2012/q2/493。

该漏洞是在两个月前的 4 月 4 日被发现的。

鉴于该漏洞的严重性以及全球数百万已部署的 MySQL 和 MariaDB 安装，在公开披露信息之前，Monty Program 作为预防措施通知了主要的 MySQL 和 MariaDB 分发商。

4 月 6 日，Monty Program 在错误报告 http://bugs.mysql.com/bug.php?id=64884 中将此问题告知了 Oracle，并提供了一个建议的修复方案。

其他主要的 MySQL 和 MariaDB 分发商是各大 Linux 发行版，它们也在 4 月份收到了警告，并获得了针对旧版本（Oracle 不再支持）MySQL 的修复方案。这给了 Oracle 和 Linux 发行版一些提前时间来检查他们的 MySQL 和/或 MariaDB 构建是否易受攻击，并在需要时应用提供的修复方案。

您的 MySQL 或 MariaDB 安装是否易受攻击取决于您使用的二进制文件在哪里以及如何构建。

由 Monty Program 提供的 MariaDB 官方二进制文件、由 Oracle 提供的 MySQL 二进制文件以及（如果您使用 Percona 提供的其服务器二进制文件）都已进行过测试。所有这些供应商都已确认该漏洞不存在于他们的二进制文件中，而且由于构建二进制文件的方式，该漏洞实际上从未出现过。

SkySQL 网站上列出的所有二进制文件都是从 dev.mysql.com/downloads 和 downloads.mariadb.org 镜像的 Oracle 官方或 MariaDB 官方二进制文件。

如果您自行构建了二进制文件，您（或您的数据库管理员）可以按照此处找到的说明轻松测试您的安装是否易受攻击，例如 http://ronaldbradford.com/blog/repost-a-tragically-comedic-security-flaw-in-mysql-2012-06-11/。

如果您构建或已经构建了您自己的二进制文件，另一个有用的信息是，该修复（无论您如何构建，都能消除问题）首次发布于 4 月 10 日的 MariaDB 5.5.23 版本。Oracle 则随后在 5 月 7 日的 MySQL 5.5.24 版本中包含了此修复。

我们大多数 MariaDB 和 MySQL 用户不需要自行构建二进制文件，也就是说，我们使用的平台提供了官方的 MariaDB 和 MySQL 二进制文件，并且我们没有需要先应用再生成自己的二进制文件的自有补丁。

因此，对于我们大多数人来说，建议从官方渠道获取二进制文件，例如通过您使用的 Linux 发行版的仓库，或者通过数据库的官方下载渠道，MariaDB 的官方下载渠道是 http://downloads.mariadb.org。

此外，如果您想确保使用的是最新版本的 MariaDB，并且正在 CentOS、Fedora、Debian、Red Hat 或 Ubuntu 上运行，则应考虑添加 MariaDB 的官方仓库，http://downloads.mariadb.org/mariadb/repositories/。

MariaDB 和/或 MySQL 打包者（如 Linux 发行版）应确保他们在专门针对打包者的 MariaDB 邮件列表 https://lists.askmonty.org/cgi-bin/mailman/listinfo/packagers 上注册，以接收重要通知，包括像这次这样安全漏洞的提前披露。