Представлены (http://blog.mariadb.org/mariadb-5-5-29-5-3-12-5-2-14-5-1-67-.../) корректирующие выпуски СУБД MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67, в рамках которой развивается ответвление от MySQL, которое может выступать в роли прозрачной замены MySQL. Кроме исправления большой порции ошибок, в новых выпусках устранено 6 уязвимостей, из которых одна может привести к организации выполнения кода на сервере. Уязвимость является вариантом ранее исправленной (http://www.opennet.me/opennews/art.shtml?num=35490) проблемы безопасности CVE-2012-5611, выявленной после публикации (http://www.opennet.me/opennews/art.shtml?num=35486) в списке рассылки Full Disclosure серии zero-day эксплоитов.
Что касается других проблем, то уязвимости CVE-2012-5627, CVE-2012-5615 можно рассматривать как неопасные, так как первая проблема связана с возможностью быстрого подбора паролей для аккаунта в MySQL, а вторая позволяет определить наличия пользователя с заданным именем. Проблемы CVE-2012-5612 (https://mariadb.atlassian.net/browse/MDEV-3908), MDEV-4029 (https://mariadb.atlassian.net/browse/MDEV-4029) и MDEV-729 (https://mariadb.atlassian.net/browse/MDEV-729) могут привести к осуществлению DoS-атаки, выражающихся в зависании или крахе после выполнения определённых SQL-запросов.
Дополнительно можно отметить заметку (http://blog.mariadb.org/unbreakable-mysql/) Сергея Голубчика, координатора по безопасности проекта MariaDB, ранее в течение 10 лет отвечавшего за вопросы безопасности MySQL. В статье критикуется наблюдаемая в настоящее время тактика компании Oracle по утаиванию уязвимостей в MySQL, следствием чего стало исключение (http://www.opennet.me/opennews/art.shtml?num=34607) тестового набора из состава MySQL, закрытие доступа к большей части системы отслеживания ошибок и отказ от публикации сгруппированного лога изменений, позволяющего судить о привязке патчей к определённым изменениям. Кроме того, указывается на то, что две из шести уязвимостей, представленных в начале декабря, остаются неисправленными (следует отметить, что речь про незначительные проблемы CVE-2012-5611 и CVE-2012-5612, которые были устранены сегодня в MariaDB), а одна (критическая проблема CVE-2012-5611) была устранена не полностью.
URL: http://blog.mariadb.org/mariadb-5-5-29-5-3-12-5-2-14-5-1-67-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=35984
Вариант для распечатки
