форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
Сообщение от opennews (??) on 06-Май-15, 10:12
В библиотеке libmysqlclient, используемой для подключения к СУБД MySQL, MariaDB и Percona Server, выявлена (http://www.ocert.org/advisories/ocert-2015-003.html) уязвимость (http://backronym.fail/) (CVE-2015-3152), позволяющая обойти создание шифрованного канала связи и организовать MITM-атаку между клиентом и СУБД. Проблема связана с тем, что при активации в настройках установки соединения с использованием SSL, если такое соединение не удалось установить, то канал связи всё равно устанавливается, но без применения шифрования. Подобное поведение  является документированным, оно было изменено в ветке  MySQL 5.7, но  продолжает (http://mysqlblog.fivefarmers.com/2015/04/29/ssltls-in-5-6-an.../) применяться в ветках MySQL 5.5 и 5.6. Проблема была устранена в кодовой базе MySQL 5.7.3 ещё в декабре 2013 года, но не была причислена к категории уязвимостей, поэтому остаётся неисправленной в  ветках MySQL 5.5/5.6, а также во всех выпусках MariaDB и Percona Server. При этом, в MariaDB поставляется несколько связующих клиентских библиотек, из которых уязвимы (https://blog.mariadb.org/information-on-the-ssl-connection-v.../) libmysqlclient  и Connector/C, в то время как модули Connector/J и Connector/ODBC не подвержены проблеме. URL: https://blog.mariadb.org/information-on-the-ssl-connection-v.../ Новость: http://www.opennet.me/opennews/art.shtml?num=42173
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+2 +/–
Сообщение от Аноним (??) on 06-Май-15, 10:12
вот те раз
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+9 +/–
Сообщение от YetAnotherOnanym (ok) on 06-Май-15, 10:15
"Выявлена" - это в смысле "нашёлся один нормальный человек, который прочёл документацию, вознегодовал и начал бить в набат"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
	Сообщение от ACCA (ok) on 06-Май-15, 17:56
	Ни разу не смешно. Весь раздел документации MySQL про SSL писан индусами, которые не отличают сертификат CA от сертификата ключа. А чтобы этот бардак хоть как-то заработал, в документации же командуют неявно отключить SSL. Сверх того PHP-шники насильно отключают проверку сертификата ключа сервера. Чтобы не ставить дополнительный пакет корневых сертификатов CA.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
Сообщение от Аноним (??) on 06-Май-15, 10:28
сто раз видел ошибку соединения, если сертификат просрочен. Так как это не работает? Версия 5.5
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+3 +/–
Сообщение от vitalif (ok) on 06-Май-15, 10:59
Ну так нефиг ставить MySQL голой (прикрытой SSL, но всё равно же голой!) жопой в интернет )))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
Сообщение от Fidel Castro on 06-Май-15, 11:13
разве можно назвать багом то, что работает так как задуманно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	–2 +/–
Сообщение от Аноним (??) on 06-Май-15, 11:26
Вы шооо, это стиль MySQL, пора к нему привыкнуть. Там всё работает так, как задумано - либо никак, либо без всякой логики, и пора к этому привыкнуть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	–1 +/–
Сообщение от Аноним (??) on 06-Май-15, 11:29
В MySQL больше исключений из правил, чем правил. Это одно из них. При том лежит на поверхности - описано в доках. Если копнуть вглубь, то можно найти сотни мест с неожиданным недокументированным поведением.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+1 +/–
Сообщение от Товарищ Майор on 06-Май-15, 12:38
таки не баг, а фича.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	–1 +/–
	Сообщение от Michael Shigorin (ok) on 06-Май-15, 13:11
	> таки не баг, а фича. Да уж... http://getlevelten.com/sites/default/files/styles/large/publ...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
Сообщение от Crazy Alex (ok) on 06-Май-15, 13:56
А зачем ему вообще SSL? Если не через свою сеть гонять данные - нормальные люди VPN поднимают.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+1 +/–
	Сообщение от Аноним (??) on 06-Май-15, 14:47
	Присоединяюсь, каждый должен заниматься своим делом. Безопастное соединение это не функция СУБД
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
	Сообщение от Cuernud on 06-Май-15, 17:11
	> А зачем ему вообще SSL? Если не через свою сеть гонять данные > - нормальные люди VPN поднимают. А через свою открытым текстом типа можно гонять? Городить что-то специально для работы с БД в случае десятков и сотен удалённых клиентов в корпоративной сети может оказаться большой морокой. Я-то себе пробрасываю порт по SSH, но мне только в целях администрирования.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	15. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
	Сообщение от cmp (ok) on 06-Май-15, 17:41
	> Городить что-то специально для работы с БД в случае десятков и сотен У вас сотни клиентов sql запосы шлют прямо в БД? или открывают вэбморду через ssl и вносят/меняют данные из форм, чего городить? все уже давно нагороженно бери да пользуйся.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	21. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
	Сообщение от Cuernud on 07-Май-15, 08:30
	Если не знаете вообще о чём речь, не стоит лезть с комментариями.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	22. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
	Сообщение от cmp (ok) on 07-Май-15, 10:02
	> Если не знаете вообще о чём речь, не стоит лезть с комментариями. Вот эта новость - яркий пример того, что нативные средства защиты бд от внешних угроз даже разработчиками воспринимаются как бонус, качаство которого никто не гарантирует, и который реализован скорее для галочки, чтобы было чем рекламный проспект наполнить. И подавляющее большенство людей это понимает и НЕ открывает доступ из диких сетей к базам. Я прекрасно понимаю о чем говорю, и поэтому для диких сетей использую только проверенных "бойцов", таких как ssh и ssl, да последний не так давно обмочился, но на этот случай есть 2й эшелон защиты, который как минимум выигрывает время для вмешательства, в конце концов мне зарплату платят в том числе и за это. А вы, по факту, жалуетесь на то, что чехольчик телефона, который вам в магазине подарили при покупке телефона - порвался, криво построили сеть и наивно положились на рекламный проспектик, в котором написанно - ssl, вместо того, что бы прочесть документацию как минимум, так что не надо мне рассказывать о том, чего я знаю, и том, что мне делать. Ваша ошибка очевидна.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	16. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+1 +/–
	Сообщение от cmp (ok) on 06-Май-15, 17:53
	> А через свою открытым текстом типа можно гонять? Ну если вы жене не доверяете, то вы плохой муж, иначе вы в достаточной степени осведомленны о том, что у вас в сети творится и способны организовать защищенный сегмент.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	14. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
	Сообщение от cmp (ok) on 06-Май-15, 17:28
	Тоже соглашусь, мне в моих сетях это шифрование нафиг не упало, только серверную греет, а открывать любой sql на внешку это черевато ддосом как минимум, вообще нормальные базы крутятся в защищенных сегментах защищенных корп сетей, слить данные почти не реально, сливают конечно, но как правило ломанув какой-нить ноут какого-нить лопушка который работал по удаленки и докуда рученки корпбезопасности не могут дотянуться по определению, а все до чего могут дотянуться регулярно сканируется и сверяется с реестром разрешенного, поэтому всю нелегальщину приходится прятать очень глубоко и надежно.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
Сообщение от Аноним (??) on 06-Май-15, 15:56
Не зря я всегда тупо прокидывал порт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Связанная с SSL-шифрованием уязвимость в клиентской..."	+/–
Сообщение от arisu (ok) on 06-Май-15, 18:04
идиоты, выставляющие сервер БД напрямую в интернеты, не вымерли ещё? воистину, господь ненавидит идиотов и не хочет забирать их к себе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+1 +/–
Сообщение от Аноним (??) on 06-Май-15, 18:51
Постгрес наше всё ;-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "Связанная с SSL-шифрованием уязвимость в клиентской библиоте..."	+/–
	Сообщение от Аноним (??) on 06-Май-15, 22:37
	> Постгрес наше всё ;-) Ваш пост огорчает мальчиков, лепящих сайты за еду на LAMP'овых хостингах.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема