OpenForum RSS: Опубликованы детали критической уязвимости в MySQL и MariaDB https://opennet.ru/openforum/vsluhforumID3/84972.html Представлена (http://permalink.gmane.org/gmane.comp.security.oss.general/7844) детальная информация об уязвимости, исправленной в недавно выпущенных обновлениях MariaDB 5.5.23/5.3.6/5.1.62/5.2.12 (http://www.opennet.ru/opennews/art.shtml?num=33589) и MySQL 5.5.24/5.1.63/5.6.6 (http://www.opennet.ru/opennews/art.shtml?num=33607). Уязвимость позволяет злоумышленнику осуществить аутентифицированный вход под любым пользователем без ввода корректного пароля. <br><br><br>Из-за ошибки в коде сравнения хэшей от паролей, переданный пароль мог быть признан эквивалентным эталонному даже при возврате ненулевого значения функцией memcmp(), используемой для сравнения. Вероятность подобного исхода составляет 1 из 256, т.е. злоумышленник может за примерно 300 попыток подключиться к СУБД, указав любое значение в качестве пароля. Эксплуатация проблемы может быть совершена любым клиентом, без необходимости модификации libmysqlclient. Суть проблемы сводится к тому, что функция проверки пароля в MySQL определена (http://bazaar.launchpa Опубликованы детали критической уязвимости в MySQL и MariaDB (Аноним) https://opennet.ru/openforum/vsluhforumID3/84972.html#59 Wed, 04 Jul 2012 03:29:36 GMT мне пофиг, ipfw+pf закрыты порты <br> Опубликованы детали критической уязвимости в MySQL и MariaDB (Michael Shigorin) https://opennet.ru/openforum/vsluhforumID3/84972.html#58 Wed, 13 Jun 2012 07:44:38 GMT &gt; Будешь за это гореть в аду <br><br>EPERM<br> Опубликованы детали критической уязвимости в MySQL и MariaDB (Nas_tradamus) https://opennet.ru/openforum/vsluhforumID3/84972.html#57 Wed, 13 Jun 2012 07:15:10 GMT Во 64bit FreeBSD не сработало:<br><br>for i in `jot - 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2&gt;/dev/null; done<br> Опубликованы детали критической уязвимости в MySQL и MariaDB (Аноним) https://opennet.ru/openforum/vsluhforumID3/84972.html#56 Mon, 11 Jun 2012 23:50:25 GMT &gt; mysql --version<br><br>mysql Ver 14.14 Distrib 5.1.56, for slackware-linux-gnu (x86_64) using readline 5.1<br><br>Тоже не получилось. Версия слаки - 13.37<br> Опубликованы детали критической уязвимости в MySQL и MariaDB (Аноним) https://opennet.ru/openforum/vsluhforumID3/84972.html#55 Mon, 11 Jun 2012 23:47:16 GMT Вот, что получается, когда руки из *опы и мозгов ноль. Ну и про выпендрёж выше верно замечено.<br> Опубликованы детали критической уязвимости в MySQL и MariaDB (antono) https://opennet.ru/openforum/vsluhforumID3/84972.html#54 Mon, 11 Jun 2012 16:19:16 GMT Попробуйте с debian-sys-maint :)<br><br>http://shelr.tv/records/4fd6173a9660804894000018<br> Опубликованы детали критической уязвимости в MySQL и MariaDB (antono) https://opennet.ru/openforum/vsluhforumID3/84972.html#53 Mon, 11 Jun 2012 16:08:24 GMT Интересно... С root не прокатывает :) Зато с debian-sys-maint огого:<br><br>http://shelr.tv/records/4fd6173a9660804894000018<br> Опубликованы детали критической уязвимости в MySQL и MariaDB (antono) https://opennet.ru/openforum/vsluhforumID3/84972.html#52 Mon, 11 Jun 2012 15:54:18 GMT Видимо уже исправили. У меня тоже не работает :)<br><br>http://shelr.tv/records/4fd6126496608064fc000014<br> Опубликованы детали критической уязвимости в MySQL и MariaDB (анонимно) https://opennet.ru/openforum/vsluhforumID3/84972.html#51 Mon, 11 Jun 2012 15:27:45 GMT Пробовал убунту 12.04 64-битную, мускул 5.5.22 - не пускает и через 1к попыток.<br>