форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+/–
Сообщение от opennews (ok) on 31-Янв-13, 23:41
Представлены (http://blog.mariadb.org/mariadb-5-5-29-5-3-12-5-2-14-5-1-67-.../) корректирующие выпуски СУБД  MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67, в рамках которой развивается ответвление от MySQL, которое может выступать в роли прозрачной замены MySQL. Кроме исправления большой порции ошибок, в новых выпусках устранено 6 уязвимостей, из которых одна может привести к организации выполнения кода на сервере. Уязвимость является вариантом ранее исправленной (http://www.opennet.ru/opennews/art.shtml?num=35490) проблемы безопасности CVE-2012-5611, выявленной после публикации (http://www.opennet.ru/opennews/art.shtml?num=35486) в списке рассылки Full Disclosure серии zero-day эксплоитов. Что касается других проблем, то уязвимости CVE-2012-5627, CVE-2012-5615 можно рассматривать как неопасные, так как первая проблема связана с возможностью быстрого подбора паролей для аккаунта в MySQL, а вторая позволяет определить наличия пользователя с заданным именем. Проблемы  CVE-2012-5612 (https://mariadb.atlassian.net/browse/MDEV-3908), MDEV-4029 (https://mariadb.atlassian.net/browse/MDEV-4029) и MDEV-729 (https://mariadb.atlassian.net/browse/MDEV-729) могут привести к осуществлению DoS-атаки, выражающихся в зависании или крахе после выполнения определённых SQL-запросов. Дополнительно можно отметить заметку (http://blog.mariadb.org/unbreakable-mysql/) Сергея Голубчика, координатора по безопасности проекта  MariaDB, ранее в течение 10 лет отвечавшего за вопросы безопасности MySQL. В статье критикуется наблюдаемая в настоящее время тактика компании Oracle по утаиванию уязвимостей в MySQL, следствием чего стало исключение (http://www.opennet.ru/opennews/art.shtml?num=34607) тестового набора из состава MySQL, закрытие доступа к большей части системы отслеживания ошибок и отказ от публикации сгруппированного лога изменений, позволяющего судить о привязке патчей  к определённым изменениям.  Кроме того, указывается на то, что две из шести уязвимостей, представленных в начале декабря, остаются неисправленными (следует отметить, что речь про незначительные проблемы CVE-2012-5611 и CVE-2012-5612, которые были устранены сегодня в MariaDB), а одна (критическая проблема CVE-2012-5611) была устранена не полностью. URL: http://blog.mariadb.org/mariadb-5-5-29-5-3-12-5-2-14-5-1-67-.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=35984
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+/–
Сообщение от pavlinux (ok) on 31-Янв-13, 23:41
> Что касается других проблем, то уязвимости можно рассматривать как неопасные, > так как первая проблема связана с возможностью быстрого подбора паролей для аккаунта в MySQL Просто безобидная проблемочка,.. да фигня, подумашь подберут и базу дропнут :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+3 +/–
	Сообщение от Crazy Alex (ok) on 01-Фев-13, 00:31
	Мсье сидит на шаред хостинге или выставляет мускуль в интернет? При нормальном администрировании - да, проблема незначительна.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	–1 +/–
	Сообщение от Аноним (??) on 01-Фев-13, 03:37
	у вас SSH тоже без фаервола ?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+/–
	Сообщение от userd (ok) on 01-Фев-13, 04:45
	Напомню, что для использования этой уязвимости нужно сначала подключиться к mysql. Т.е. совсем случайному человеку будет тяжело воспользоваться этой уязвимостью. Далее, этот "быстрый" подбор пароля (в моём случае) происходит со скоростью порядка четырёх тысяч паролей в секунду. Это почти на два порядка медленнее, чем скорость непосредственного подбора паролей с помощью john the ripper. Так что шансов пострадать от этого подбора довольно немного.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+/–
	Сообщение от dresu on 02-Фев-13, 15:39
	Ну для John the Ripper надо вначале хеши утащить. Если они есть - то конечно никто онлайн подбирать не будет...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+1 +/–
Сообщение от Аноним (??) on 01-Фев-13, 08:17
Ну, теперь ждём, пока Патрик собственноручно заменит MySQL на MariaDB :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	–4 +/–
Сообщение от Аноним (??) on 01-Фев-13, 13:08
>по утаиванию уязвимостей в MySQL какие плохие, не рассказывают всем миру, где у них проколы. Взяла бы компания  MariaDB да выкупила права на Mysql или разрабатывала полноценный форк, как LibreOffice. А так основатель MariaDB не лучше того же оракла и отношение к нему такое же
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+1 +/–
	Сообщение от Аноним (??) on 01-Фев-13, 14:40
	Мьсе идиот?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+/–
	Сообщение от pavlinux (ok) on 02-Фев-13, 16:20
	Да ладно издеваться, он просто не в теме :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	8. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+/–
	Сообщение от Crazy Alex (ok) on 01-Фев-13, 16:22
	Кхм! Куда уж полноценнее...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	11. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."	+/–
	Сообщение от Аноним (??) on 04-Фев-13, 12:54
	Ну не оракл же жалуется, что от них утаили тесты, а наоборот =)
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема