Oracle 的 27 个 MySQL 安全修复程序与 MariaDB

MySQL 社区有一些新的关注点。首先，看起来 MySQL 现在已成为 Oracle 软件安全保障 (Oracle Software Security Assurance) 的一部分，所有 MySQL 用户都应该对此感到高兴。其次，值得注意的是，MySQL 现在已成为 Oracle 关键补丁更新 (Oracle CPU) 的一部分，因为 MySQL 产品线首次被纳入 Oracle 2012 年 1 月的 CPU 公告。

作为 MySQL 社区的一员，CPU 对我们来说是新事物——它们在每年一月、四月、七月和十月最接近 17 日的星期二发布。这有点让我们想起补丁星期二 (Patch Tuesday)，但我们不要跑题。

这是 MySQL 首次成为关键补丁更新的一部分，该公告表明 Oracle MySQL 有 27 个新的安全修复程序，其中一个漏洞存在无需身份验证即可远程利用的可能性。作为 MySQL 分支的开发者，我们自然关注这些 CPU 的性质。

首先，值得注意的是 MariaDB 总是基于 MySQL 的一个分支（MariaDB 5.1、5.2 和 5.3 基于 MySQL 5.1，MariaDB 5.5 基于 MySQL 5.5）。因此，无论何时 Oracle 在 MySQL 5.1 或 MySQL 5.5 中做出安全修复，我们都会继承它们。这是作为分支而不是独立开发的好处之一。

“Oracle 公告包含自上次公告以来出现的所有问题。但这是针对 MySQL 的首次公告。因此，要么 Oracle 自 2011 年 10 月以来发现了 27 个新问题，要么这包含了所有未解决的问题，”当我向 MariaDB 架构副总裁兼前 MySQL 安全联系人 Sergei Golubchik 询问这 27 个安全修复时，他说道。

在查找所有 CVE 编号后，报告都很模糊，例如“Oracle MySQL 5.1.x 和 5.5.x 中 MySQL Server 组件的未指定漏洞允许远程攻击者通过未知向量影响可用性。”此外，报告没有引用 bug 编号，因此通过一些猜测，我们可能认为这个提交可能是最严重漏洞的修复程序——即无需身份验证即可远程利用的那个。顺带一提，该 bug 已于 2011 年 5 月修复，并且长期以来一直存在于 MySQL 和 MariaDB 中（尽管我们的实现与上游有所不同）。

我们注意到大多数 CVE 都是在 2012 年 1 月报告的，但不知道它们是何时报告给 Oracle bug 数据库（或 bugs.mysql.com）的，也不知道它们是何时修复的。我们认为这可能是 Oracle 将 MySQL 纳入其软件安全保障计划，从而导致所有安全 bug 都同一天在 cve.mitre.org 上报告。

这 27 个修复程序是新的还是现有程序被捆绑起来在关键补丁更新中报告，在提供更准确的 bug 信息之前仍然是个未知数。我们正在积极努力寻找答案。