The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +/
Сообщение от opennews (ok) on 31-Янв-13, 23:41 
Представлены (http://blog.mariadb.org/mariadb-5-5-29-5-3-12-5-2-14-5-1-67-.../) корректирующие выпуски СУБД  MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67, в рамках которой развивается ответвление от MySQL, которое может выступать в роли прозрачной замены MySQL. Кроме исправления большой порции ошибок, в новых выпусках устранено 6 уязвимостей, из которых одна может привести к организации выполнения кода на сервере. Уязвимость является вариантом ранее исправленной (http://www.opennet.ru/opennews/art.shtml?num=35490) проблемы безопасности CVE-2012-5611, выявленной после публикации (http://www.opennet.ru/opennews/art.shtml?num=35486) в списке рассылки Full Disclosure серии zero-day эксплоитов.


Что касается других проблем, то уязвимости CVE-2012-5627, CVE-2012-5615 можно рассматривать как неопасные, так как первая проблема связана с возможностью быстрого подбора паролей для аккаунта в MySQL, а вторая позволяет определить наличия пользователя с заданным именем. Проблемы  CVE-2012-5612 (https://mariadb.atlassian.net/browse/MDEV-3908), MDEV-4029 (https://mariadb.atlassian.net/browse/MDEV-4029) и MDEV-729 (https://mariadb.atlassian.net/browse/MDEV-729) могут привести к осуществлению DoS-атаки, выражающихся в зависании или крахе после выполнения определённых SQL-запросов.


Дополнительно можно отметить заметку (http://blog.mariadb.org/unbreakable-mysql/) Сергея Голубчика, координатора по безопасности проекта  MariaDB, ранее в течение 10 лет отвечавшего за вопросы безопасности MySQL. В статье критикуется наблюдаемая в настоящее время тактика компании Oracle по утаиванию уязвимостей в MySQL, следствием чего стало исключение (http://www.opennet.ru/opennews/art.shtml?num=34607) тестового набора из состава MySQL, закрытие доступа к большей части системы отслеживания ошибок и отказ от публикации сгруппированного лога изменений, позволяющего судить о привязке патчей  к определённым изменениям.  Кроме того, указывается на то, что две из шести уязвимостей, представленных в начале декабря, остаются неисправленными (следует отметить, что речь про незначительные проблемы CVE-2012-5611 и CVE-2012-5612, которые были устранены сегодня в MariaDB), а одна (критическая проблема CVE-2012-5611) была устранена не полностью.


URL: http://blog.mariadb.org/mariadb-5-5-29-5-3-12-5-2-14-5-1-67-.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=35984

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +/
Сообщение от pavlinux (ok) on 31-Янв-13, 23:41 
> Что касается других проблем, то уязвимости можно рассматривать как неопасные,
> так как первая проблема связана с возможностью быстрого подбора паролей для аккаунта в MySQL

Просто безобидная проблемочка,.. да фигня, подумашь подберут и базу дропнут :D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +3 +/
Сообщение от Crazy Alex (ok) on 01-Фев-13, 00:31 
Мсье сидит на шаред хостинге или выставляет мускуль в интернет? При нормальном администрировании - да, проблема незначительна.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  –1 +/
Сообщение от Аноним (??) on 01-Фев-13, 03:37 
у вас SSH тоже без фаервола ?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +/
Сообщение от userd (ok) on 01-Фев-13, 04:45 
Напомню, что для использования этой уязвимости нужно сначала подключиться к mysql. Т.е. совсем случайному человеку будет тяжело воспользоваться этой уязвимостью. Далее, этот "быстрый" подбор пароля (в моём случае) происходит со скоростью порядка четырёх тысяч паролей в секунду. Это почти на два порядка медленнее, чем скорость непосредственного подбора паролей с помощью john the ripper. Так что шансов пострадать от этого подбора довольно немного.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +/
Сообщение от dresu on 02-Фев-13, 15:39 
Ну для John the Ripper надо вначале хеши утащить. Если они есть - то конечно никто онлайн подбирать не будет...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +1 +/
Сообщение от Аноним (??) on 01-Фев-13, 08:17 
Ну, теперь ждём, пока Патрик собственноручно заменит MySQL на MariaDB :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  –4 +/
Сообщение от Аноним (??) on 01-Фев-13, 13:08 
>по утаиванию уязвимостей в MySQL

какие плохие, не рассказывают всем миру, где у них проколы.

Взяла бы компания  MariaDB да выкупила права на Mysql или разрабатывала полноценный форк, как LibreOffice. А так основатель MariaDB не лучше того же оракла и отношение к нему такое же

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +1 +/
Сообщение от Аноним (??) on 01-Фев-13, 14:40 
Мьсе идиот?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +/
Сообщение от pavlinux (ok) on 02-Фев-13, 16:20 
Да ладно издеваться, он просто не в теме :)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +/
Сообщение от Crazy Alex (ok) on 01-Фев-13, 16:22 
Кхм! Куда уж полноценнее...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устране..."  +/
Сообщение от Аноним (??) on 04-Фев-13, 12:54 
Ну не оракл же жалуется, что от них утаили тесты, а наоборот =)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру