В библиотеке libmysqlclient, используемой для подключения к СУБД MySQL, MariaDB и Percona Server, выявлена (http://www.ocert.org/advisories/ocert-2015-003.html) уязвимость (http://backronym.fail/) (CVE-2015-3152), позволяющая обойти создание шифрованного канала связи и организовать MITM-атаку между клиентом и СУБД. Проблема связана с тем, что при активации в настройках установки соединения с использованием SSL, если такое соединение не удалось установить, то канал связи всё равно устанавливается, но без применения шифрования. Подобное поведение является документированным, оно было изменено в ветке MySQL 5.7, но продолжает (http://mysqlblog.fivefarmers.com/2015/04/29/ssltls-in-5-6-an.../) применяться в ветках MySQL 5.5 и 5.6.Проблема была устранена в кодовой базе MySQL 5.7.3 ещё в декабре 2013 года, но не была причислена к категории уязвимостей, поэтому остаётся неисправленной в ветках MySQL 5.5/5.6, а также во всех выпусках MariaDB и Percona Server. При этом, в MariaDB поставляется несколько связующих клиентских библиотек, из которых уязвимы (https://blog.mariadb.org/information-on-the-ssl-connection-v.../) libmysqlclient и
Connector/C, в то время как модули Connector/J и Connector/ODBC не подвержены проблеме.URL: https://blog.mariadb.org/information-on-the-ssl-connection-v.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42173
вот те раз
"Выявлена" - это в смысле "нашёлся один нормальный человек, который прочёл документацию, вознегодовал и начал бить в набат"?
Ни разу не смешно.Весь раздел документации MySQL про SSL писан индусами, которые не отличают сертификат CA от сертификата ключа. А чтобы этот бардак хоть как-то заработал, в документации же командуют неявно отключить SSL.
Сверх того PHP-шники насильно отключают проверку сертификата ключа сервера. Чтобы не ставить дополнительный пакет корневых сертификатов CA.
сто раз видел ошибку соединения, если сертификат просрочен. Так как это не работает? Версия 5.5
Ну так нефиг ставить MySQL голой (прикрытой SSL, но всё равно же голой!) жопой в интернет )))
разве можно назвать багом то, что работает так как задуманно?
Вы шооо, это стиль MySQL, пора к нему привыкнуть. Там всё работает так, как задумано - либо никак, либо без всякой логики, и пора к этому привыкнуть.
В MySQL больше исключений из правил, чем правил. Это одно из них. При том лежит на поверхности - описано в доках. Если копнуть вглубь, то можно найти сотни мест с неожиданным недокументированным поведением.
таки не баг, а фича.
> таки не баг, а фича.Да уж... http://getlevelten.com/sites/default/files/styles/large/publ...
А зачем ему вообще SSL? Если не через свою сеть гонять данные - нормальные люди VPN поднимают.
Присоединяюсь, каждый должен заниматься своим делом. Безопастное соединение это не функция СУБД
> А зачем ему вообще SSL? Если не через свою сеть гонять данные
> - нормальные люди VPN поднимают.А через свою открытым текстом типа можно гонять?
Городить что-то специально для работы с БД в случае десятков и сотен удалённых клиентов в корпоративной сети может оказаться большой морокой.
Я-то себе пробрасываю порт по SSH, но мне только в целях администрирования.
> Городить что-то специально для работы с БД в случае десятков и сотенУ вас сотни клиентов sql запосы шлют прямо в БД? или открывают вэбморду через ssl и вносят/меняют данные из форм, чего городить? все уже давно нагороженно бери да пользуйся.
Если не знаете вообще о чём речь, не стоит лезть с комментариями.
> Если не знаете вообще о чём речь, не стоит лезть с комментариями.Вот эта новость - яркий пример того, что нативные средства защиты бд от внешних угроз даже разработчиками воспринимаются как бонус, качаство которого никто не гарантирует, и который реализован скорее для галочки, чтобы было чем рекламный проспект наполнить. И подавляющее большенство людей это понимает и НЕ открывает доступ из диких сетей к базам.
Я прекрасно понимаю о чем говорю, и поэтому для диких сетей использую только проверенных "бойцов", таких как ssh и ssl, да последний не так давно обмочился, но на этот случай есть 2й эшелон защиты, который как минимум выигрывает время для вмешательства, в конце концов мне зарплату платят в том числе и за это.
А вы, по факту, жалуетесь на то, что чехольчик телефона, который вам в магазине подарили при покупке телефона - порвался, криво построили сеть и наивно положились на рекламный проспектик, в котором написанно - ssl, вместо того, что бы прочесть документацию как минимум, так что не надо мне рассказывать о том, чего я знаю, и том, что мне делать.
Ваша ошибка очевидна.
> А через свою открытым текстом типа можно гонять?Ну если вы жене не доверяете, то вы плохой муж, иначе вы в достаточной степени осведомленны о том, что у вас в сети творится и способны организовать защищенный сегмент.
Тоже соглашусь, мне в моих сетях это шифрование нафиг не упало, только серверную греет, а открывать любой sql на внешку это черевато ддосом как минимум, вообще нормальные базы крутятся в защищенных сегментах защищенных корп сетей, слить данные почти не реально, сливают конечно, но как правило ломанув какой-нить ноут какого-нить лопушка который работал по удаленки и докуда рученки корпбезопасности не могут дотянуться по определению, а все до чего могут дотянуться регулярно сканируется и сверяется с реестром разрешенного, поэтому всю нелегальщину приходится прятать очень глубоко и надежно.
Не зря я всегда тупо прокидывал порт.
идиоты, выставляющие сервер БД напрямую в интернеты, не вымерли ещё? воистину, господь ненавидит идиотов и не хочет забирать их к себе.
Постгрес наше всё ;-)
> Постгрес наше всё ;-)Ваш пост огорчает мальчиков, лепящих сайты за еду на LAMP'овых хостингах.
