免费试用

在 PingCAP 我们非常重视产品相关的安全问题。如果您在使用或测试我们产品的过程中发现安全漏洞,我们鼓励您报告给我们的安全团队,以便帮助 TiDB 提升产品和业务的安全性,为我们的用户提供更好的安全保障。

报送漏洞

如果您发现 TiDB 产品漏洞或遇到涉及 TiDB 产品漏洞的安全事件,可通过 security@pingcap.com 向 TiDB 安全团队报告。 请按照以下格式提供尽可能多的漏洞信息(* 表示必填项):

  • 漏洞标题*
  • 概述*
  • 受影响的组件和版本号*
  • CVE 编号(如果有):
  • 漏洞验证流程*
  • 联系信息*

TiDB 安全团队将在您提交漏洞后 2 个工作日内确认漏洞并与您取得联系。

提示:请不要利用漏洞下载或者获取超出漏洞利用证明的数据,删除或者修改用户数据,这类操作将视作恶意攻击。

漏洞接受范围

超出范围

  • 物理攻击
  • 社会工程学攻击、近源攻击
  • 缺少 HTTP 安全标头或者需启用特定的 HTTP 方法
  • 邮箱 SPF 配置问题
  • 任何 API 接口的蛮力攻击
  • 网站页面点击劫持
  • HTML 内容注入
  • robots.txt 文件的泄露
  • 电子邮件欺骗
  • 页面的错误信息
  • Golang 或者 javascript 函数错误
  • API 接口无速率限制
  • 非敏感文件泄露
  • DDOS 或者 HTTP 洪水攻击造成的拒绝服务
  • 服务器版本信息泄露
  • 弱密码策略或者数据库 hash 加盐问题
  • SSL/TLS 版本过低
  • 依赖的第三方组件存在漏洞但无法验证的

保密原则

修复安全漏洞后,我们将公开感谢漏洞提交者。但是,为避免负面影响,并根据法律要求,请对漏洞信息保密,直至漏洞修复。请遵守以下行为准则,我们将不胜感激。

  • 该漏洞在 TiDB 发布补丁之前不会对外或向第三方公开:在 TiDB 相关方接收到漏洞信息、完成漏洞处置前及预定时限前不应提前公开发布漏洞相关信息。针对不同类型漏洞的修复规律和所需周期,各方研判后协商拟定灵活实际的漏洞公开披露时间。
  • 不要透露漏洞的详细细节信息,例如漏洞利用代码,避免漏洞信息被不当利用。
  • 遵守知识产权保护法律法规及商业秘密协定。

TiDB 已修复漏洞披露

漏洞名称 受影响的组件 CVSS 影响版本 修复版本 漏洞描述
TiFlash 开放了不必要的端口 TiFlash Server CVSS v3 score:8.2 => High sererity 4.0.0 <= TiFlash < 7.1.0 >= 7.1.0 默认部署时,TiFlash 开放了不必要的http端口。
TiDB Dashboard 存在 SSRF 漏洞 TiDB Dashboard CVSS v3 score:7.3 => High sererity 7.2.0-DMR
7.3.0-DMR
<= 6.5.3
<= 7.1.1
7.4.0-DMR
>= 6.5.4
>= 7.1.2
>= 7.5.0
SSRF 漏洞,允许攻击者通过受信任的服务器发送恶意请求到目标服务器。
TiDB DSN 注入 TiDB Server CVSS v3 score: 9.8 => Critical sererity <=6.1.2

>= 6.2.0 & <= 6.4.0-alpha1

6.1.3

6.4.0

DSN 注入漏洞,可能导致任意文件读取。
TiFlash 开放了不必要的端口 TiFlash CVSS v3 score:8.6 => High sererity 4.0.0 <= TiFlash < 7.1.0 TiFlash 7.1.0 (TiUP >= v1.12.5 or TiDB Operator >= v1.5.0) 默认部署时,TiFlash 开放了不必要的端口。
TiDB 认证绕过漏洞 TiDB Server CVSS v3 score: 8.4 => High severity 5.3.0 5.3.1 特定条件下,用户可以利用该漏洞绕过身份校验。
TiDB DML SQL 执行漏洞 TiDB Server CVSS v3 score: 8.2 => High severity <=4.0.14
<=5.0.3
<=5.1.1
4.0.15
5.0.4
5.1.2
TiDB http 状态服务存在 SQL 注入漏洞,攻击者可以通过该漏洞获得数据库权限。
TiDB caching_sha2_password 绕过密码认证登录 TiDB Server CVSS v3 score: 7.6 => High severity <=4.0.6 4.0.7 特定条件下用户可以绕过 caching_sha2_password 的认证机制登录 TiDB。

金融行业内容专区上线,为金融机构数据库选型和应用提供深入洞察和可靠参考路径。