近日生产服务器准备正式试运行,数据进入客户的专有网络,于是甲方派了人过来测漏洞,结果扫出一大堆。其间关于mysql的漏洞300多个,吓死人。给出的补丁地址,打开来看,全部是英文,可能是一些什么测试机构给出来的,里面有链接又跳到了mysql官网。说来说去,无非就是要升级版本吧。
所以,步骤就是2个:
1)下载新版本
2)安装新版本
一、下载新版本
我们当前的版本是mysql community 8.0.23。打开官网,一顿好找。现在国外的一些个网站,似乎有一种倾向,页面洋洋洒洒,林林总总,废话一大堆,就是不肯老老实实给出下载的链接。我上次下载vmware就是,藏得那叫一个深。
好不容易找到下载界面,又傻眼了,只有32位的:
但不知道为什么,它好像也支持64位。我原先装的是8.0.23,就是64位的,然后下载了这个8.0.42的所谓32位,升级后仍然是64位。不知道是不是官网搞错了。
二、安装8.0.42
我们服务器上现有的版本是8.0.23,运行8.0.42的安装包,它是直接将现有的8.0.23版本升级到8.0.42,目录、端口什么的都没变,安装完之后可以继续使用,数据不受影响。当然,安装之前我们自己必须先备份数据库。
三、安装8.4.5
升级到8.0.42后,300多个漏洞就不见了,但还剩一个,说是要升级到8.4。
8.4的话,有2种安装方式,一种是原有基础上升级,一种是全新安装。
我觉得8.0到8.4跳跃太大了,如果在生产系统弄,万一升级失败,原来的又用不了,那就完犊子了,风险太大。所以我选择第二种方式,side by side,全新安装一个。装好之后,将数据库导到8.5,然后将现有版本停掉。唯一需要改动的是,端口要跟现有的不一样。现有版本是默认的3306,安装新版本只好设为不一样,改成3307。
四、小结
漏洞扫描工具扫出一大堆,其中有一些漏洞,看上去根本就跟mysql没有什么关系。比如这个
或者这个
我说我们程序里都没有用过这些东西。结果升级了mysql之后,这些漏洞也没有了。像这个xstream,我们程序并没有使用,依赖包也没有。估计是mysql的一些组件在使用。mysql本身不是java写的,但它的一些组件是,比如connector。