The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устранением уязвимостей

31.01.2013 23:11

Представлены корректирующие выпуски СУБД MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67, в рамках которой развивается ответвление от MySQL, которое может выступать в роли прозрачной замены MySQL. Кроме исправления большой порции ошибок, в новых выпусках устранено 6 уязвимостей, из которых одна может привести к организации выполнения кода на сервере. Уязвимость является вариантом ранее исправленной проблемы безопасности CVE-2012-5611, выявленной после публикации в списке рассылки Full Disclosure серии zero-day эксплоитов.

Что касается других проблем, то уязвимости CVE-2012-5627, CVE-2012-5615 можно рассматривать как неопасные, так как первая проблема связана с возможностью быстрого подбора паролей (скорость перебора составляет около 5000 комбинаций в секунду) для аккаунта в MySQL при наличии аутентифицированного доступа, а вторая позволяет определить наличия пользователя с заданным именем. Проблемы CVE-2012-5612, MDEV-4029 и MDEV-729 могут привести к осуществлению DoS-атаки, выражающихся в зависании или крахе после выполнения определённых SQL-запросов.

Дополнительно можно отметить заметку Сергея Голубчика, координатора по безопасности проекта MariaDB, ранее в течение 10 лет отвечавшего за вопросы безопасности MySQL. В статье критикуется наблюдаемая в настоящее время тактика компании Oracle по утаиванию уязвимостей в MySQL, следствием чего стало исключение тестового набора из состава MySQL, закрытие доступа к большей части системы отслеживания ошибок и отказ от публикации сгруппированного лога изменений, позволяющего судить о привязке патчей к определённым изменениям. Кроме того, указывается на то, что две из шести уязвимостей, представленных в начале декабря, остаются неисправленными (следует отметить, что речь про незначительные проблемы CVE-2012-5611 и CVE-2012-5612, которые были устранены сегодня в MariaDB), а одна (критическая проблема CVE-2012-5611) была устранена не полностью.

  1. Главная ссылка к новости (http://blog.mariadb.org/mariad...)
  2. OpenNews: Основатели MySQL учредили организацию MariaDB Foundation, которая будет развивать и продвигать альтернативу MySQL
  3. OpenNews: Обновление MariaDB с устранением zero-day уязвимости, затрагивающей кодовую базу MySQL
  4. OpenNews: Разработчики дистрибутива Fedora рассматривают возможность замены MySQL на MariaDB
  5. OpenNews: Опубликована серия эксплоитов для неисправленных уязвимостей в MySQL
  6. OpenNews: Критические уязвимости в Cisco Linksys и MySQL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/35984-mariadb
Ключевые слова: mariadb, mysql
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pavlinux (ok), 23:41, 31/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Что касается других проблем, то уязвимости можно рассматривать как неопасные,
    > так как первая проблема связана с возможностью быстрого подбора паролей для аккаунта в MySQL

    Просто безобидная проблемочка,.. да фигня, подумашь подберут и базу дропнут :D

     
     
  • 2.2, Crazy Alex (ok), 00:31, 01/02/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мсье сидит на шаред хостинге или выставляет мускуль в интернет? При нормальном администрировании - да, проблема незначительна.
     
  • 2.3, Аноним (-), 03:37, 01/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у вас SSH тоже без фаервола ?
     
  • 2.4, userd (ok), 04:45, 01/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Напомню, что для использования этой уязвимости нужно сначала подключиться к mysql. Т.е. совсем случайному человеку будет тяжело воспользоваться этой уязвимостью. Далее, этот "быстрый" подбор пароля (в моём случае) происходит со скоростью порядка четырёх тысяч паролей в секунду. Это почти на два порядка медленнее, чем скорость непосредственного подбора паролей с помощью john the ripper. Так что шансов пострадать от этого подбора довольно немного.
     
     
  • 3.9, dresu (?), 15:39, 02/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну для John the Ripper надо вначале хеши утащить. Если они есть - то конечно никто онлайн подбирать не будет...
     

  • 1.5, Аноним (-), 08:17, 01/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну, теперь ждём, пока Патрик собственноручно заменит MySQL на MariaDB :)
     
  • 1.6, Аноним (-), 13:08, 01/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >по утаиванию уязвимостей в MySQL

    какие плохие, не рассказывают всем миру, где у них проколы.

    Взяла бы компания  MariaDB да выкупила права на Mysql или разрабатывала полноценный форк, как LibreOffice. А так основатель MariaDB не лучше того же оракла и отношение к нему такое же

     
     
  • 2.7, Аноним (-), 14:40, 01/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мьсе идиот?
     
     
  • 3.10, pavlinux (ok), 16:20, 02/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно издеваться, он просто не в теме :)
     
  • 2.8, Crazy Alex (ok), 16:22, 01/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Кхм! Куда уж полноценнее...
     
     
  • 3.11, Аноним (-), 12:54, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не оракл же жалуется, что от них утаили тесты, а наоборот =)
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру