MySQL - tragikomiczna luka dająca dostęp do roota

Sergei Golubchik, koordynator projektu MariaDB, odkrył bardzo poważny błąd bezpieczeństwa w bazie danych MySQL. Polega on na ominięciu autoryzacji i uzyskaniu bardzo łatwego dostępu do bazy da...

robert-kosekowski z dodany: 11.06.2012, 10:32:55

Komentarze (31)

najlepsze

jaceks

11.06.2012, 10:35:26

ahaha i niech mi ktos powie ze debian to zly system ;)

flame war on ! ;)

robert-kosekowski

11.06.2012, 10:45:44

@jaceks: przypadkiem bo mają jakiegoś starocia co nik nie używa :P :P

ads

11.06.2012, 18:18:11

RedHatowe (w tym najpopularniejszy na serwerach CentOS) są bezpieczne. W zasadzie każdy serwer powinien być bezpieczny. Żaden normalny admin nie wystawia portu bazy na świat.

robert-kosekowski

12.06.2012, 05:47:23

Podsumowując, twórcy MySQL się nie popisali. Błąd polega na nieprawidłowym castingu zwracanej wartości przez memcmp. Normalnie funkcja zwraca wartości 0, 1 lub -1, ale jest to ogólnie niezdefiniowane zachowanie, nie należy przyjmować, że tak musi być. Jest powiedziane, że funkcja zwraca 0 gdy ciągi są identyczne, liczbę dodatnią gdy ciąg pierwszy jest większy od drugiego i ujemną w przeciwnym wypadku. Liczenie, że będzie tam jakaś konkretna wartość w jakiś przedziale to wróżenie

ollbi

11.06.2012, 10:38:33

Luka naprawdę banalna, ciekawe kiedy tylko zostanie naprawiona :)

robert-kosekowski

11.06.2012, 10:40:36

@ollbi: lukę poprawił dwa miesiące temu Oracle :P Paczkujący się opieprzają i tyle :D

Soren

11.06.2012, 22:17:12

-2

Ale i tak open source nie ma bocznych drzwiczek ;)

ihwar

12.06.2012, 06:23:56

-4

mssql ftw!

ihwar

12.06.2012, 11:01:11

-1

@ihwar:

no i za co te minusy? pracuje na tym silniku od dawna i jest na prawdę dobry

trb

11.06.2012, 11:48:24

Jaka baza takie luki...

mack23

11.06.2012, 13:48:02

@trb: jak można porównywać sqlite do mysql? to tak jakby porównywać wiatrówkę i czołg

JestemKaspi

11.06.2012, 12:04:49

@bandersnatch:

@trb:

Po wprowadzeniu obsługi unicode do serwera IIS została odkryta jedna z poważniejszych luk oprogramowania serwerowego

bandersnatch

11.06.2012, 10:51:39

Treść przeznaczona dla osób powyżej 18 roku życia...

robert-kosekowski

11.06.2012, 11:01:52

@bandersnatch: ale luka jest załatana od 2 miesięcy. Widać jak umiesz czytać. Aaa zapomniałem. W gimnazjum teraz nie uczą czytać.

g.....n

konto usunięte 11.06.2012, 10:55:51

@bandersnatch: pieprzysz od rzeczy mały. Luki były, są i będą bo nikt nie jest idealny. Komentujesz jak by komercyjne oprogramowanie było wolne od wad gdzie wcale nie jest lepiej. A nawet gorzej.

Fakt że luka deczko nieciekawa. Tyle dobrego że narażeni są tylko ci którzy wystawili swoją bazę danych na zewnątrz.

MySQL - tragikomiczna luka dająca dostęp do roota

Hity

Zielona Góra. Zmarł mężczyzna pogryziony przez psy, wcześniej amputowano mu nogi

Zatrzymano właściciela trzech psów, które zagryzły w lesie 46-letniego mężczyznę

Stop Agresji Psów - powstaje strona z danymi o atakach w Polsce

Na sokoła dwa lata szkoleń, a amstaffa może mieć każdy. Chory absurd.

Premiera cen transkacyjnych z Warszawy na deweloperuchu

Powiązane tagi