在 PingCAP 我们非常重视产品相关的安全问题。如果您在使用或测试我们产品的过程中发现安全漏洞,我们鼓励您报告给我们的安全团队,以便帮助 TiDB 提升产品和业务的安全性,为我们的用户提供更好的安全保障。
报送漏洞
如果您发现 TiDB 产品漏洞或遇到涉及 TiDB 产品漏洞的安全事件,可通过 security@pingcap.com 向 TiDB 安全团队报告。 请按照以下格式提供尽可能多的漏洞信息(* 表示必填项):
- 漏洞标题*:
- 概述*:
- 受影响的组件和版本号*:
- CVE 编号(如果有):
- 漏洞验证流程*:
- 联系信息*:
TiDB 安全团队将在您提交漏洞后 2 个工作日内确认漏洞并与您取得联系。
提示:请不要利用漏洞下载或者获取超出漏洞利用证明的数据,删除或者修改用户数据,这类操作将视作恶意攻击。
漏洞接受范围
超出范围
- 物理攻击
- 社会工程学攻击、近源攻击
- 缺少 HTTP 安全标头或者需启用特定的 HTTP 方法
- 邮箱 SPF 配置问题
- 任何 API 接口的蛮力攻击
- 网站页面点击劫持
- HTML 内容注入
- robots.txt 文件的泄露
- 电子邮件欺骗
- 页面的错误信息
- Golang 或者 javascript 函数错误
- API 接口无速率限制
- 非敏感文件泄露
- DDOS 或者 HTTP 洪水攻击造成的拒绝服务
- 服务器版本信息泄露
- 弱密码策略或者数据库 hash 加盐问题
- SSL/TLS 版本过低
- 依赖的第三方组件存在漏洞但无法验证的
保密原则
修复安全漏洞后,我们将公开感谢漏洞提交者。但是,为避免负面影响,并根据法律要求,请对漏洞信息保密,直至漏洞修复。请遵守以下行为准则,我们将不胜感激。
- 该漏洞在 TiDB 发布补丁之前不会对外或向第三方公开:在 TiDB 相关方接收到漏洞信息、完成漏洞处置前及预定时限前不应提前公开发布漏洞相关信息。针对不同类型漏洞的修复规律和所需周期,各方研判后协商拟定灵活实际的漏洞公开披露时间。
- 不要透露漏洞的详细细节信息,例如漏洞利用代码,避免漏洞信息被不当利用。
- 遵守知识产权保护法律法规及商业秘密协定。
TiDB 已修复漏洞披露
| 漏洞名称 | 受影响的组件 | CVSS | 影响版本 | 修复版本 | 漏洞描述 |
| TiDB DSN 注入 | TiDB Server | CVSS v3 score: 9.8 => Critical sererity | <=6.1.2
>= 6.2.0 & <= 6.4.0-alpha1 |
6.1.3 | DSN 注入漏洞,可能导致任意文件读取 |
| TiFlash 开放了不必要的端口 | TiFlash | CVSS v3 score:8.6 => High sererity | 4.0.0 <= TiFlash < 7.1.0 | TiFlash 7.1.0 (TiUP >= v1.12.5 or TiDB Operator >= v1.5.0) | 默认部署时,TiFlash 开放了不必要的端口。 |
| TiDB 认证绕过漏洞 | TiDB Server | CVSS v3 score: 8.4 => High severity | 5.3.0 | 5.3.1 | 特定条件下,用户可以利用该漏洞绕过身份校验。 |
| TiDB 支持不安全的 TLS 密码 (3DES) | TiDB Server | CVSS v3 score: 3.1 => Low severity | <=5.2.1 | 5.2.2 | TiDB 未禁用 3DES、MD5、RC4 等不安全的 TLS 加密算法。 |
| TiDB DML SQL 执行漏洞 | TiDB Server | CVSS v3 score: 8.2 => High severity | <=4.0.14 <=5.0.3 <=5.1.1 |
4.0.15 5.0.4 5.1.2 |
TiDB http 状态服务存在 SQL 注入漏洞,攻击者可以通过该漏洞获得数据库权限。 |
| ALTER USER SQL语句执行漏洞 | TiDB Server | CVSS v3 score: 6.5 => Medium severity | <=4.0.13 <=5.0.3 |
4.0.14 5.0.4 |
特定条件下,用户可以绕过数据库的权限校验,将账户密码置为空。 |
| TiDB caching_sha2_password 绕过密码认证登录 | TiDB Server | CVSS v3 score: 7.6 => High severity | <=4.0.6 | 4.0.7 | 特定条件下用户可以绕过 caching_sha2_password 的认证机制登录 TiDB。 |