URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 82913
[ Назад ]

Исходное сообщение
"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."

Отправлено opennews , 10-Фев-12 15:27 
В конце января компания Oracle опубликовала (http://www.oracle.com/technetwork/topics/security/cpujan2012...) сводный отчёт об узявимостях, устранённых в различных продуктах компании. В отчёте сообщалось, что в MySQL исправлено 27 уязвимостей. Информация в отчёте была предоставлена только в общем виде, не дающем судить о характере проблем. С момента публикации отчёта прошло уже несколько недель, но подробности так и не опубликованы.

В связи с подобным сокрытием информации производители Linux-дистрибутивов оказались в тупике (http://www.openwall.com/lists/oss-security/2012/02/09/14), так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL.  Информация об уязвимостях ограничивается номером CVE, уровнем опасности, информацией по веткам MySQL и не несущим особого смысла однострочным описанием. Интересно, что подобный отчёт (Critical Patch Update) для MySQL выпускается первый раз, поэтому непонятно за какой период там собраны уязвим...

URL: http://www.openwall.com/lists/oss-security/2012/02/09/14
Новость: http://www.opennet.me/opennews/art.shtml?num=33051


Содержание

Сообщения в этом обсуждении
"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 15:35 
почему, ну почему Оракл не может сделать это по-человечески?

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено A , 10-Фев-12 22:37 
Потому что ему нафиг не нужен MySQL и его пользователи тоже до лампочки. MySQL вообще никому не нужен после продажи Sun'у. Поэтому, если тебе нужна совместимость с MySQL, то есть MariaDB и Percona. А для новых проектов лучше использовать Postgres.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено trdm , 11-Фев-12 01:09 
а она и делает чисто по человечески: сначала продаст код эксплойта кому надо, а потом заделает дырку: и волки сыты и овцы довольны :))))))))))))

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено anonymouis vulgaris , 11-Фев-12 03:13 
> почему, ну почему Оракл не может сделать это по-человечески?

просто вы с крупными компаниями не сталкивались, там сейчас все так делается - кое-как и кое-кем и всем все пофиг, смешно тут читать про суперстратегические задумки. Не ну может у верхнего менеджмента какие потуги и есть, но в середине и внизу их так реализуют что мама не горюй.



"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 17-Фев-12 12:10 
В общем, да. Продажникам на качество продукта пофигу, для них существует только нынешнее время и маркетинговые показатели.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Diden05 , 13-Фев-12 19:58 
А как иначе Ынтерпрайз то MySQL продавать?
Оракел такой Оракел

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 15:41 
> так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL

А почему ораклу должно быть дело до каких-то бекпортов в каких-то дистрибутивах?


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено daemonpnz , 10-Фев-12 15:49 
>> так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL
> А почему ораклу должно быть дело до каких-то бекпортов в каких-то дистрибутивах?

Потому что, тогда их MySQL уйдёт глубоко в жопу, если его выкинут из других дистрибутивов из-за нерешённых проблем безопасности.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 15:54 
Проблемы решены, новая версия выпущена. Если какие-то дистрибутивы не в состоянии обновлять свои репозитории, то оракл тут ни при чём.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 16:11 
Обновления в дистрибутивах не сводятся к компиляции свежей версии.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено anonymous , 10-Фев-12 18:02 
Да, это так, к сожалению. Хотя должны сводиться именно к этому.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 19:52 
К сожалению? А кто  будет совместимость обеспечивать?

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено anonymous , 10-Фев-12 23:54 
Разработчики приложения, кто же ещё? Это их задача, не мейнтейнеров.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 00:57 
> Разработчики приложения, кто же ещё? Это их задача, не мейнтейнеров.

А они её не обеспечивают.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено anonymous , 11-Фев-12 10:59 
Если не обеспечивают, то надо искать другое приложение, а не городить костыли.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 20:22 
> Да, это так, к сожалению. Хотя должны сводиться именно к этому.

Должны? Кто должны? Кому должны? В этом мире никто никому ничего не должен. Особенно майнтайнеры. Особенно подстилкой под оракла работать.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 03:47 
сдается вы не понимаете роль разработчиков при выпуске maintance релизов.
В нормальной компании маинтейнеры отвественны только за упаковку.
А то получится как в том дебиане - когда маинтейнер SSH посчитав себя умнее разработчиков сделал дырку.
Помните этот случай? Так вот..

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Я , 15-Фев-12 15:15 
> сдается вы не понимаете роль разработчиков при выпуске maintance релизов.
> В нормальной компании маинтейнеры отвественны только за упаковку.

В таком дистрибутиве у вас работать вообще ничего не будет.

> А то получится как в том дебиане - когда маинтейнер SSH посчитав
> себя умнее разработчиков сделал дырку.
> Помните этот случай? Так вот..

Бывает и так.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено ананим , 10-Фев-12 17:29 
>Примечательно, что исправления для Oracle Linux полностью копируют обновление для RHEL без дополнительных правок.

???


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 20:06 
Оракл прячет патчи даже от своих разработчиков.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Andrey Mitrofanov , 10-Фев-12 16:03 
> когда его выкинут из других дистрибутивов из-за невменяемого проприерастичного апстрима.

fixed.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 20:24 
>> когда его выкинут из других дистрибутивов из-за невменяемого проприерастичного апстрима.
> fixed.

Ну дождутся что все дружно свалят на MariaDB и воткнут альяс на пакет ведущий вот туда. И будут потом опять локти грызть из-за невозможности влиять на ситуацию, типа как с опенофисом.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено arisu , 10-Фев-12 20:26 
ну не умеют они опенсорц, не умеют. и учиться на своих ошибках не хотят. туда им и дорога, значит.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено Аноним , 11-Фев-12 03:51 
> ну не умеют они опенсорц, не умеют. и учиться на своих ошибках
> не хотят. туда им и дорога, значит.

Они делают правильно - выпуская maintance обновления.
И не хотят полагаться на Васю с печи который при бэкпорте патчей внесет дырку.
Они сами выпускают обновления и отвечают за то что бы они были вовремя.

А тебе дай только по лаять на Oracle, сам небойсь ничего похожего не делал и не занимался поддержкой софта.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено Аноним , 13-Фев-12 20:06 
> Они делают правильно - выпуская maintance обновления.

Правильно они делают только с точки зрения корпоративных старперов оставшихся в своих ранних девяностых и не осознающих что с тех пор прошло 20 лет...


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Diden05 , 13-Фев-12 20:07 
Ога, то то парни из MariaDB в ступор встали, ой не знаем что бэкпортить.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено arcade , 10-Фев-12 15:42 
Скорее всего проблема связана с уходом из проекта кучи разрабов. Хотя ораклу плюсик - последний год сижу на 5.5 - пашет тихо и спокойно, а раньше это была просто светомузыка...

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено oops , 10-Фев-12 15:50 
Ага, только это плюсики сану и гуглу

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:39 
> Ага, только это плюсики сану и гуглу

При сане как раз мускуль был в полной заднице. Оракл его хоть допилил до вменяемого состояния.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 10-Фев-12 18:42 
>> Ага, только это плюсики сану и гуглу
> При сане как раз мускуль был в полной заднице. Оракл его хоть
> допилил до вменяемого состояния.

Вот соглашусь, да. 5.5 и готовящийся 5.6 - самые вменяемые релизы мискла. Проблемы оракла - это полное неумение и нежелание работать с community, что видно и с (Open)Solaris и с MySQL.

Надеюсь, что научатся.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:47 
Не надейся. "Проблемы коммьюнити^Wиндейцев шерифа не е.ут".

Доходчиво? В Оракле зарабатывают бабки для Ларри, а не занимаются непонятной х.ней и заячьими плясками со Столлманом в пользу неведомого е.аного^Wсветлого будущего.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 10-Фев-12 21:55 
> Не надейся. "Проблемы коммьюнити^Wиндейцев шерифа не е.ут".
> Доходчиво? В Оракле зарабатывают бабки для Ларри, а не занимаются непонятной х.ней
> и заячьими плясками со Столлманом в пользу неведомого е.аного^Wсветлого будущего.

"Деньги для Ларри" тут ни при чем. Уже есть немалая вероятность, что центр разработки ZFS и MySQL будет не оракл. И тогда повлиять на ситуацию будет невозможно. Как это случилось с тем же Xfree86.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 22:45 
> Уже есть немалая вероятность, что центр разработки ZFS и MySQL будет не оракл.

Да ну? И какие же компании так рвутся на себя это взвалить, если не секрет?


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 10-Фев-12 23:13 
>> Уже есть немалая вероятность, что центр разработки ZFS и MySQL будет не оракл.
> Да ну? И какие же компании так рвутся на себя это взвалить,
> если не секрет?

отнюдь не секрет - MariaDB и Percona могут занять эту нишу. Уже часть важных проектов для мискла (таже галера) развивается вне оракла. Крупные пользователи мискла (включая фейсбук) могут поддержать это финансово, так как думаю тоже не в восторге от такого отношения к.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 03:57 
>>> Уже есть немалая вероятность, что центр разработки ZFS и MySQL будет не оракл.
>> Да ну? И какие же компании так рвутся на себя это взвалить,
>> если не секрет?
> отнюдь не секрет - MariaDB и Percona могут занять эту нишу. Уже
> часть важных проектов для мискла (таже галера) развивается вне оракла. Крупные
> пользователи мискла (включая фейсбук) могут поддержать это финансово, так как думаю
> тоже не в восторге от такого отношения к.

"могут" а почему ты решил что они будут это делать?
А MariaDB это компания хозяин которой кинул Sun и потом пытался отобрать торговую марку MySQL себе назад?



"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 11-Фев-12 12:21 
>> отнюдь не секрет - MariaDB и Percona могут занять эту нишу. Уже
>> часть важных проектов для мискла (таже галера) развивается вне оракла. Крупные
>> пользователи мискла (включая фейсбук) могут поддержать это финансово, так как думаю
>> тоже не в восторге от такого отношения к.
> "могут" а почему ты решил что они будут это делать?

Потому, что это рынок. Жалко, что вы не умеете читать написанное абзацем выше.

> А MariaDB это компания хозяин которой кинул Sun и потом пытался отобрать
> торговую марку MySQL себе назад?

Это во первых не так, а во вторых не имеет никакого отношения к теме.



"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 10-Фев-12 23:15 
>> Уже есть немалая вероятность, что центр разработки ZFS и MySQL будет не оракл.
> Да ну? И какие же компании так рвутся на себя это взвалить,
> если не секрет?

По поводу ZFS - та же ixsystems и Nexenta, насколько я знаю уже начали это делать.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 01:05 
> По поводу ZFS - та же ixsystems и Nexenta, насколько я знаю уже начали это делать.

Названные вами компании занимаются не разработкой, а продажей решений на базе ZFS. Апстрим для них все равно солярка, в крайнем случае OpenIndiana.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 11-Фев-12 12:22 
>> По поводу ZFS - та же ixsystems и Nexenta, насколько я знаю уже начали это делать.
> Названные вами компании занимаются не разработкой, а продажей решений на базе ZFS.
> Апстрим для них все равно солярка, в крайнем случае OpenIndiana.

Они заявляли о финансовой поддержке community разработчиков ZFS. Впрочем, время покажет. Апстрим для них уже не солярка, в виду того, что солярка заморозила публичный репозиторий.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено arcade , 13-Фев-12 14:19 
>> По поводу ZFS - та же ixsystems и Nexenta, насколько я знаю уже начали это делать.
> Названные вами компании занимаются не разработкой, а продажей решений на базе ZFS.
> Апстрим для них все равно солярка, в крайнем случае OpenIndiana.

Почитайте коммиты во фрю, там регулярно мелькает в патчах строчка Sponosred by iXsystems.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 20:24 
> Надеюсь, что научатся.

Нафига оно им? Что их к этому побудит?


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 10-Фев-12 21:56 
>> Надеюсь, что научатся.
> Нафига оно им? Что их к этому побудит?

К этому может побудить то, что центр разработки продуктов сместится в сторонние компании. Ну  и просто здравый смысл может побудить, я не думаю что кто-то получает выгоду от такого ужасного взаимодействия.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено arisu , 10-Фев-12 22:27 
да нет никакого «взаимодействия». есть полное непонимание оракулем опенсорца и принципов его работы. они считают, что есть мускуль купили — то могут так же диктовать условия, как и для своей закрытой базы. куда юзеры с подводной лодки-то?

буду сильно смеяться, если через некоторое время открытая версия мускуля тоже попадёт в могильник опача, а оракуль останется с закрытой проприетарной версией, совместимой лишь с самой собой.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено samm , 10-Фев-12 23:17 
> да нет никакого «взаимодействия». есть полное непонимание оракулем опенсорца
> и принципов его работы. они считают, что есть мускуль купили —
> то могут так же диктовать условия, как и для своей закрытой
> базы. куда юзеры с подводной лодки-то?

не совсем так плохо. Как минимум на opensource встречах разработчики мискла из оракла присутствуют и неформальное взаимодействие на этом уровне есть. Ну а на официальном - увы, примерно так и есть.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено arisu , 10-Фев-12 23:20 
дык на разработчиков-то никто особо и не гонит волну. но рулят, увы, вовсе не они.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 16:20 
Если продукт MySQL не будет поддерживать сообщество то многие баги будут не выявленными. Включая коммерческие продукты оракла, которые на нем основаны

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 01:09 
> Если продукт MySQL не будет поддерживать сообщество то многие баги будут не
> выявленными. Включая коммерческие продукты оракла, которые на нем основаны

Вы думаете, оракловцев так беспокоят невыявленные баги?


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 03:59 
> Если продукт MySQL не будет поддерживать сообщество то многие баги будут не
> выявленными. Включая коммерческие продукты оракла, которые на нем основаны

сдается вы врете :) Комюнити никогда не служило заменой QA - а вот грамотный QA вполне может заменить стадо слонов которые могут толкаться в одном месте и не замечать багов чуть в стороне.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Pilat , 10-Фев-12 16:23 
mysql Ораклу вообще не нужен, скорее даже вреден, ведь он оттягивает на себя часть клиентских денег.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено FFASM , 10-Фев-12 17:05 
Только они ответили: Без mysql нам SUN не нужен. Купили с целью закапать?

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:42 
> Только они ответили: Без mysql нам SUN нe нужен. Купили с целью зaкапать?

Покупают с целью зaкапать - глазные капли.
Ораклу мускл нужен для того, чтобы закрыть рыночную нишу ма-а-аленьких БД, в которую их собственный продукт не лезет даже с вaзелином.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено VoDA , 11-Фев-12 01:22 
> Только они ответили: Без mysql нам SUN не нужен. Купили с целью
> закапать?

Купили Sun с целью влиять на развитие java. MySQL оказался дополнением, как OpenOffice, Hudson и другие.



"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:35 
> mysql Ораклу вообще не нужен, скорее даже вреден, ведь он оттягивает на
> себя часть клиентских денег.

Лоровские аналитики?
Тема к размышлению: почему мускул ни разу не конкурент оракловской базе.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:48 
>> mysql Ораклу вообще не нужен, скорее даже вреден, ведь он оттягивает на
>> себя часть клиентских денег.
> Лоровские аналитики?
> Тема к размышлению: почему мускул ни разу не конкурент оракловской базе.

В нем нет ссылочных констрэйнтов? :) Из-за чего он ни разу не реляционная БД? :)


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 20:18 
Пока что мимо. Продолжайте.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено www2 , 11-Фев-12 15:58 
Ты, видимо, тоже один из лоровских аналитиков.

Тема к размышлению: почему оракл ни разу не конкурент мускульной базе?

В общем, тут ситуация двоякая, они не конкуренты друг другу, просто оракл хочет покрыть больший процент рынка, предлагая свои решения для каждой из существующих рыночных ниш.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено all_glory_to_the_hypnotoad , 11-Фев-12 00:33 
не неси чуши. mysql с его многочисленными клонами по текущим техническим мерккам гогно полное и вообще ничего на себя из ком. сектора не оттягивает.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 13:05 
> не неси чуши. mysql с его многочисленными клонами по текущим техническим мерккам
> гогно полное и вообще ничего на себя из ком. сектора не
> оттягивает.

Смотря для чего.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено www2 , 11-Фев-12 16:03 
> не неси чуши. mysql с его многочисленными клонами по текущим техническим мерккам
> гогно полное и вообще ничего на себя из ком. сектора не
> оттягивает.

Не оттягивает только по той простой причине, что между мускулем и коммерческими решениями есть ещё два хороших варианта - PostgreSQL и Firebird. А вот если бы не было бы этих двоих, то альтернативой мускулю были бы только коммерческие решения. То есть, получается, что мускуль, наряду с постгресом и огнептицей, клиентов у коммерческих предложений всё-же уводит.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним239 , 10-Фев-12 16:46 
Спешите видеть, в линейке систем удаленного управления прибыло: К системам удаленного управления десктопом, с дополнительными функциями чтения pdf и  просмотра видео, прибавилась система удаленного управления сервером, с дополнительной функцией базы данных.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:37 
> Спешите видеть, в линейке систем удаленного управления прибыло: К системам удаленного управления
> десктопом, с дополнительными функциями чтения pdf и  просмотра видео, прибавилась
> система удаленного управления сервером, с дополнительной функцией базы данных.

Microsoft уже давно выпускает удобные и широко распространенные системы удаленного управления для десктопов и северов. Также эти системы местами пытаются закосить под ОС, но эта функция там побочная и работает достаточно криво.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 17:42 
Непонятно, неужели нельзя посмотреть на коммиты оракловых разработчиков?
Или мускуль успел стать проприетарным?
летчик.жпг

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:32 
Можно, конечно. После того, как составите точный список, какой из сотен коммитов какую дыру закрывает - милости просим!

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Aleksey Salow , 11-Фев-12 02:46 
> Можно, конечно. После того, как составите точный список, какой из сотен коммитов какую дыру закрывает - милости просим!

А как же тот самый специалист которому тут всегда предлагают заплатить для того чтобы поддерживать проект или реализовывать новую функциональность?


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено arisu , 11-Фев-12 12:25 
> А как же тот самый специалист которому тут всегда предлагают заплатить для
> того чтобы поддерживать проект или реализовывать новую функциональность?

это опция по-умолчанию. но ты-то чего с этим вопросом лезешь? ты ведь никому платить не собираешься. ну и молчи себе.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено Aleksey Salow , 11-Фев-12 13:20 
>> А как же тот самый специалист которому тут всегда предлагают заплатить для
>> того чтобы поддерживать проект или реализовывать новую функциональность?
> это опция по-умолчанию. но ты-то чего с этим вопросом лезешь? ты ведь
> никому платить не собираешься. ну и молчи себе.

Вот тут любят приводить наличие сорцов как один из плюсов опенсурса. Если проект умрёт, то можно будет найти того самого специалиста который за небольшую мзду будет поддерживать проект и добавлять фичи. А тут живой мускль, и общество не может разобрать что там и какими патчами запатчили баги. Т.е. полезность сорцов вы таки преувеличиваете, вот и всё.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено www2 , 11-Фев-12 16:11 
> Вот тут любят приводить наличие сорцов как один из плюсов опенсурса. Если
> проект умрёт, то можно будет найти того самого специалиста который за
> небольшую мзду будет поддерживать проект и добавлять фичи. А тут живой
> мускль, и общество не может разобрать что там и какими патчами
> запатчили баги. Т.е. полезность сорцов вы таки преувеличиваете, вот и всё.

Почему же именно за небольшую мзду? Тут как везде - за еду работают только бездари.

С сорцами есть два варианта: либо ты найдёшь специалиста за деньги, либо не найдёшь. При отсутствии сорцов у тебя вообще даже вариантов нет - ты точно никого не найдёшь, особенно если фирма-разработчик давно разорилась и её продукт больше не поддерживается.

То есть, гарантий нет, но возможность никто не отбирал. У нас каждый гражданин имеет право получить один раз бесплатно высшее образование, но никто не гарантирует, что каждый гражданин его действительно получит.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено arisu , 11-Фев-12 16:34 
> за небольшую мзду

это кто такую ерунду сказал? размер оплаты зависит от сложности работы. ну, и выше тебе верно пояснили: наличие опции лучше отсутствия опции.

а мне, скажем, вообще без разницы, какие там дырки в мускуле. но это ж не значит, что я за то, чтобы его код закрыли.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 10-Фев-12 18:31 
Ну это сильно страшно только для всяких там shared hostings. Обычно mysql извне недоступен.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:48 
> Ну это сильно страшно только для всяких там shared hostings. Обычно mysql
> извне недоступен.

Да что ты, вихрь! А SQL Injection - это, конечно же, об Оракле.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено samm , 10-Фев-12 19:52 
>> Ну это сильно страшно только для всяких там shared hostings. Обычно mysql
>> извне недоступен.
> Да что ты, вихрь! А SQL Injection - это, конечно же, об
> Оракле.

ещё раз и по буквам - чаще всего сервер баз данных закрыт. А данным полученным от пользователя не доверяют.  В данной ситуации угроза куда менее опасна. На shared hosting это, естественно, не реализуемо. Также как и на всяких девелоперских платформах с доступом к mysql (читай тот же shared hosting).


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:47 
Могу подтвердить 0-day с mysql - на винде в открытой сети он не простоял и 2-х часов. Дебиановский до сих пор живёт вроде как.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:49 
> Могу подтвердить 0-day с mysql - на винде в открытой сети он
> не простоял и 2-х часов. Дебиановский до сих пор живёт вроде
> как.

Его просто пока не заметили. :)


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 18:56 
На том же IP и на том же порту. :) Только ошибся немного - Ubuntu Server 11.04

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 21:22 
> Могу подтвердить 0-day с mysql - на винде в открытой сети он не простоял и 2-х часов.

А вы уверены, что именно через мускул ломанули? В самой винде много незакрытых дыр.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено ano , 11-Фев-12 00:17 
Уверен, потому что кроме мускульного порта наружу ничего не торчало.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 01:07 
> Уверен, потому что кроме мускульного порта наружу ничего не торчало.

А кто сказал, что это был не файрвол и не сетевой стек?


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 02:57 
> Уверен, потому что кроме мускульного порта наружу ничего не торчало.

Значит торчало не наружу. А как это выглядит торчащий мускульный порт? И зачем он торчал?


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 13-Фев-12 20:10 
> Уверен, потому что кроме мускульного порта наружу ничего не торчало.

У винды недавно был крутой баг с 0day когда udp пакеты на _закрытые_ порты (ессно не фаером снаружи, а самой ОС закрытые) вели к выполнению кода...


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 21:32 
Oracle считает себя не_в_обязанности отчитываться перед сообществом.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено arisu , 10-Фев-12 22:03 
> Oracle считает себя не_в_обязанности отчитываться перед сообществом.

что, в общем-то, их право. они только одного не учли: это не их оракуль рдбмс, от которого никуда не денешься, если подсел. ну не могут они понять: «как это — взять исходники и уйти, послав нас нафиг? никогда ведь такого не было, никто так с нами не поступал!»


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 23:59 
> Oracle считает себя не_в_обязанности отчитываться перед сообществом.

"Мы в ответе за тех, кого приру^Wкупили" - эта фраза неизвестна Оракелу. Предлагаю срочно отказываться от всех поделок sunrip'а и этого аллигатора, лучше поздно, чем влететь в зависимость.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 01:08 
> "Мы в ответе за тех, кого приру^Wкупили" - эта фраза неизвестна Оракелу.
> Предлагаю срочно отказываться от всех поделок sunrip'а и этого аллигатора, лучше
> поздно, чем влететь в зависимость.

Чтобы через годик словить такое же счастье с постгресом.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 02:58 
> Oracle считает себя не_в_обязанности отчитываться перед сообществом.

Оракл сообществу ни чем и не обязан.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 21:47 
Хитрость в том что обнаружение уязвимостей идет ораклу, а оракл не опубликовывает полный отчет! Не считает она себя в обязанности это делать, так как она купила MySQL! А хозяин - барин! Такое вот НЕДРУЖЕСТВЕННОЕ ПОГЛОЩЕНИЕ copyleft...

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Владимир , 10-Фев-12 21:55 
А с год уже не парюсь. Веб проекты строю на PostgrSQL.
ОЧЕНЬ дружное сообщество, высокая скорость работы, встроенная мастер-слэйв репликация.................
Дак еще и многие даже шаринг хостеры поддерживают наравне с мускулем!

Единственный недостаток для начинающих мало примеров для обучения. У кого голова на месте - ничего военного в нем нет! Штатная поддержка PHP, Qt, C, C++, 1С...

Дерзайте и не замарачивайтесь с раклом.
Плюс ко всему проверена временем на очень крупных проектах (гугл в помощь).

Еще, не слушайте, кто говорит PostgreSQL только для крупных проектов - он отлично себя ведет как на мелких, так и на масштабных!


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 10-Фев-12 22:17 
А есть гарантия, что и это не будет поглощено через поглощение компании?...

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Anon4ik , 10-Фев-12 22:53 
Нет гарантии даже, что вы проживете завтрашний день ("человек внезапно смертен", как говаривал Воланд), а вы о каких-то гарантиях непоглощения.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 01:05 
> А есть гарантия, что и это не будет поглощено через поглощение компании?...

Есть. MySQL принадлежал одной компании MySQL AB, а у PostgreSQL некого поглощать.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 11-Фев-12 12:41 
>> А есть гарантия, что и это не будет поглощено через поглощение компании?...
> Есть. MySQL принадлежал одной компании MySQL AB, а у PostgreSQL некого поглощать.

Большинство разработчиков трудоустроены в EnterpriseDB, эта компания неформально задаёт вектор развития и обеспечивает поддержку.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено тигар , 10-Фев-12 22:21 
> А с год уже не парюсь. Веб проекты строю на PostgrSQL.
> ОЧЕНЬ дружное сообщество, высокая скорость работы, встроенная мастер-слэйв репликация.................

а в mysql она не встроенная?;-)
раскажи уж как сделать в поцгре: работал сервер, данных там гигов 100. внезапно решили "да будет слейв у него!" и _внимание_ вопрос: какого объема должен быть винт на этом слейве чтобы эти клевые wal поместились и вообще наступило Счастье?

> Дак еще и многие даже шаринг хостеры поддерживают наравне с мускулем!

УХТЫ! много их?
> Единственный недостаток для начинающих мало примеров для обучения. У кого голова на
> месте - ничего военного в нем нет! Штатная поддержка PHP, Qt,
> C, C++, 1С...

щито?
> Дерзайте и не замарачивайтесь с раклом.
> Плюс ко всему проверена временем на очень крупных проектах (гугл в помощь).

обратись к нему же за помощью и узнай где используется mysql.

> Еще, не слушайте, кто говорит PostgreSQL только для крупных проектов - он
> отлично себя ведет как на мелких, так и на масштабных!

пора выдыхать уж, думаю.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 02:54 
А в чём счастье то? И в чём сложность и причём тут WAL? Другое дело, что Слон действительно сложен. Прежде всего из-за довольно слабой дидактической поддержки. На Слона нет своего Тома Кайта.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено тигар , 11-Фев-12 07:59 
> А в чём счастье то? И в чём сложность и причём тут
> WAL? Другое дело, что Слон действительно сложен. Прежде всего из-за довольно
> слабой дидактической поддержки. На Слона нет своего Тома Кайта.

счатье в малом - иметь работающую репликацию master-slave;)
причем тут wal? ну не знаю, а как по другому? а если [надолго] стопать нельзя "мастер"?
меня вообще поклоннички поцгрез (превед, ононим) прикалывают своими "pgsql круче!!!" "чем?" "ЧЕМ mysql!!"


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено anonymous , 11-Фев-12 08:06 
Тем, что Postrgesql это СУБД а Mysql раскрученый коммерческий бренд с более благозвучным названием сделаный вокруг идеи 'сцепим пару табличек а там поглядим авось этого хватит, как и 640 килобайт', и только после долгих лет таки костылями изолентой и канцелярским клеем доведенная до звания "СУБД"?

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 12:40 
Слон безусловно круче, если под круче понимается полная поддержка ACID за счёт относительно быстрого MVCC. Механизм же репликации во всех системах очень похож. Практически везде копируется лог операций. Репликация в последних Слонах (в 9 и 9.1), в общем, беспроблемная даже с "горячим" серваком. Просто нужно тратить время на освоение. И, к примеру, для проектов, где ACID нафиг не нужен, Слон избыточен и слишком медленный.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено rstone , 11-Фев-12 13:20 
> Слон безусловно круче, если под круче понимается полная поддержка ACID за счёт
> относительно быстрого MVCC. Механизм же репликации во всех системах очень похож.
> Практически везде копируется лог операций.
> Репликация в последних Слонах (в 9 и 9.1), в общем, беспроблемная даже с "горячим" >серваком.

Пробовали , работает только с малым количеством изменений в мастере .

> к примеру, для проектов, где ACID
> нафиг не нужен, Слон избыточен и слишком медленный.

Тогда и DB ( никакой )   не нужен вообще .  


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 16:40 
Огромное количество проектов, использующих MySQL ISAM, свидетельствует об обратном. Как раз ACID мало кому нужен, а если нужен, т.е. данные представляют ценность, то скорее выбирают коммерческие решения от того же Оракла.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено all_glory_to_the_hypnotoad , 11-Фев-12 20:08 
ISAM используют вовсе не потому что не нужен ACID, а только потому, что основная масса пользователей mysql вообще ничего не понимает в СУБД и когда-то просто заюзала дефрлтный движок.

Даже где совсем не нужен ACID но есть нагрузка ISAM вообще не подходит. Только потому, что и он в мускуле сделан через задницу.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 23:16 
Ну непонимание тоже можно списать на выбор осознанный ;) ISAM у дельфина хороший. Запись очень быстрая и с логом. А больше и не надо.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Piter_Ring , 13-Фев-12 03:10 
> ISAM используют вовсе не потому что не нужен ACID, а только потому,
> что основная масса пользователей mysql вообще ничего не понимает в СУБД
> и когда-то просто заюзала дефрлтный движок.
> Даже где совсем не нужен ACID но есть нагрузка ISAM вообще не
> подходит. Только потому, что и он в мускуле сделан через задницу.

"Нагрузка" - нагрузке - рознь.

У меня есть "живой" проектик, в котором все таблицы оннодб (ибо нужны гарантии) и только одна таблица майисам - потому что нужно инсертить тысячами строк/сек. Иннодб на этой операции загибается. То ли индексы там так медленно рассчитываются то ли с логом перемудрили. Но не работает иннодб движок при больших объемах ввода данных.
С другой стороны - в случае каких либо катастрофических падений сервера - крашится майисамовская таблица с вероятностью процентов 80%.

С мускулом наигрался еще с 4-ых версий предостаточно. В те времена он вообще на СУБД небыл похож. Скорее на движок по работе с текстовыми файлами. (чем майисам собственно и является)
С появлением 5-ой ветки и движка иннодб - мускул таки стал немножко похож на СУБД.
Хотя для сколь-либо больших и сложных проектов конечно же его использовать нельзя.
Иначе будет то же самое, что копать Суэцкий канал ложками. Оно как бы то и не запрещено, но шибко много ложек надо.



"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено all_glory_to_the_hypnotoad , 13-Фев-12 12:47 
> То ли индексы там так медленно рассчитываются то ли с логом перемудрили.

иннодб пишет логи отката/наката. И всё даже там более-менее работает если правильно разложить эти логи по физическим носителям и корректно работать с странзакциями.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 13-Фев-12 21:47 
Почитайте на досуге об архитектурных особенностях различных реляционных (и не очень) СУБД. Многие вопросы отпадут.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 16:42 
> Пробовали , работает только с малым количеством изменений в мастере .

Может нужен более толстый канал связи?



"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено rstone , 11-Фев-12 22:42 
>> Пробовали , работает только с малым количеством изменений в мастере .
> Может нужен более толстый канал связи?

не , проблема с IO .


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено rstone , 11-Фев-12 13:02 

> а в mysql она не встроенная?;-)
> раскажи уж как сделать в поцгре: работал сервер, данных там гигов 100.
> внезапно решили "да будет слейв у него!" и _внимание_ вопрос: какого
> объема должен быть винт на этом слейве чтобы эти клевые wal
> поместились и вообще наступило Счастье?

У нас 1 ТБ база ( Postgres ) .
Есть 3 слэйва с 3-4 часовой задержкой ( то есть репликация не совсем онлайн ) .
WAL'ы лежат отдельно , 40 ГБ в среднем .
Счастье близко как никогда ранее .


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 11-Фев-12 02:48 
Вова, Postgre это, скажем так, совершенно не о том.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями..."
Отправлено arisu , 11-Фев-12 12:17 
> Вова, Postgre это, скажем так, совершенно не о том.

тем более, что это вовсе даже Postgres, если уж так хочется называть его девичьей фамилией. но в остальном согласен.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено playnet , 13-Фев-12 20:14 
> А с год уже не парюсь. Веб проекты строю на PostgrSQL.
> ОЧЕНЬ дружное сообщество, высокая скорость работы, встроенная мастер-слэйв репликация....

А мастер-мастер? А мульти-мастер? Для шаред хостинга это не нужно. А для проекта, который занимает хотя бы 4 сервера? Можно конечно через костыли - mysqlproxy/pgproxy и 1 мастер, остальные слейвы.
Доопустим мастер-мастер сделали. Синхронный. А если сервера стоят в разных ДЦ? Особенно когда проблемы с каналом, любой апдейт занимает от секунды до десятков секунд. Благо есть semi-syncrous синхронизация, когда действие считается успешным, когда изменение всосал _1_ слейв.
Ура, 9 постгрес научился мастер-мастер почти штатно. А мультимастер? А полусинхронные обновления?

Я не против постгреса и у него есть сферы. Но не надо делать вид, что у него нет недостатков. И да, он сложен в настройке и сопровождении. Сложнее мускуля.


"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Кирилл , 13-Фев-12 21:50 
Мастер-мастер это уже не репликация, а гетерогенная БД. Полусинхронные обновления это чито? Типа отложенное согласование?

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 12-Фев-12 02:20 
Каракуль мстит сообществу за libreoffice. Не обращать внимания на этих щеглов, они просто манипулируют правдой.

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Tiv , 12-Фев-12 11:48 
Вообще то, так все светочи делают
http://www.opennet.me/opennews/art.shtml?num=29743
Но виноват конечно Оракл

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено SteelRat , 12-Фев-12 21:31 
Намутили воду :) "Мускул", по ходу действия, мешает Ораклу вот и мутят - расшатывают/качают.
Лучше бы своими ДЫРАМИ занимались. Некоторые баги уже 3-4 года не могут залатать, а всё в другие тычат своими кривыми пальцами !

"Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M..."
Отправлено Аноним , 29-Фев-12 22:22 
Если компании известно, что некоторые (важные) существующие клиенты не обновились, публикацию деталей задерживают, чтобы не сообщать потенциальным злоумышленникам. Это один из способов заботиться о клиентах. И это не связано с конкретным продуктом.