forum.opennet.ru

"Критическая root-уязвимость в MySQL"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Критическая root-уязвимость в MySQL"	–1 +/–
Сообщение от Ilya Indigo (ok), 15-Сен-16, 14:48
> You write:> because of some troubles And what kind of problems > arise when updating the code in the current branch, and when moving > to another branch? They can be anywhere to see? The only known me a > package that depends on it mariadb akonadi-server through > libQt5Sql5-mysql. It would seem that you just need to update the > source code and compile the package, and track that would > libQt5Sql5-mysql and perhaps other providers mysql successfully > met, especially if the update prededah one branch. Or is it much > more difficult, and I do not understand something? You can see the declined request here [0]. I have to say that I was quite busy for the last few weeks but now it should be better and I hope I will finish the migration to 10.1. branch soon. > I and some members of the Russian-speaking resource, about open > software ( www.opennet.ru), are very interested why openSUSE > Tumbleweed some packages updated fairly quickly (eg php), and some, > like mariadb and the openssh, can not be updated more than a year > ? It always depends on the maintainer and mainly on the community around the package. There are some packages with awesome community that handles all version and other updates and there are some "not so popular" packages where all the work is just on the packager. > More interested in, if you are familiar with this problem, why the > site is not working properly software.opensuse.org search packages > to Tumbleweed? For example > https://software.opensuse.org/package/mariadb tab for Tumbleweed > shows a very old package 5.5.29, with broken links? > Sorry, but I'm not in charge of this site. However, I guess you can file a new issue in GitHub [1] or write an email to admin [2]. > I wish you a productive, joyful and pleasant day! :-) You too :) Best Ragards, Kristyna Streitova [0] https://build.opensuse.org/request/show/402002 [1] https://github.com/openSUSE/software-o-o/issues [2] admin@opensuse.org
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая root-уязвимость в MySQL, opennews, 12-Сен-16, 17:54 [смотреть все]

ах-ах-ах ужас, ужас Мысль о touch var lib mysql my cnf chattr i var lib , Аноним, 12-Сен-16, 17:54 (1) //
- Я воспользовался четвертым вариантом и выкинул MySQL , Аноним, 13-Сен-16, 10:24 (37)
- Как временный вариант, до выходы полноценного патча, это в принципе должно работ, gogo, 14-Сен-16, 00:15 (76) //
  - И, между прочем, классический случай наказания за нарушение unix-way - сделали п, gogo, 14-Сен-16, 00:19 (77) //
    - програмеры на шелле те еще безопасники, особенно забавно выглядит led который на, Аноним, 14-Сен-16, 02:02 (82)
Так какого чёрта в репах у них до сих пор 10 0 22 Вот теперь у меня уже подгорае, Ilya Indigo, 12-Сен-16, 18:06 (2) //
- 10 0 26 в репахhttp software opensuse org package mariadb, Ян Злобин, 12-Сен-16, 18:48 (5) //
  - openSUSE Tumbleweedофициальный выпуск 5 5 29И битая ссылка на загрузку, так к, Ilya Indigo, 12-Сен-16, 18:53 (6) //
    - Вот, что вижу я http yan zlobin name files software opensuse org png, Ян Злобин, 13-Сен-16, 14:44 (59)
- var lib mysql my cnf chattr i var lib mysql my cnfНе благодари , rt, 12-Сен-16, 22:29 (19)
- До Кристины достучались , KM, 13-Сен-16, 02:54 (23) //
  - Вот интересный вопрос В принципе, да Я подумал, что она русская, исходя из её , Ilya Indigo, 13-Сен-16, 08:27 (31) //
    - Я полагаю, она и сама в курсе https bugzilla novell com show_bug cgi id CVE-2, KM, 13-Сен-16, 09:25 (33)
      - Но если даже опеннет в курсе, то я и не сомневался что она в курсе тоже - Но я, Ilya Indigo, 13-Сен-16, 10:46 (42)
        
        А по запоздалым обновлением она просветила вопрос Ибо уже и самому интересно , KM, 13-Сен-16, 17:36 (67)
        
        Пока только написала, что запрос на перевод на ветку 10 1 уже был произведён, но, Ilya Indigo, 13-Сен-16, 17:48 (69)
        
        Важно уже то, что появился обратный отклик и что не приходится гадать и строить , KM, 13-Сен-16, 21:37 (72)
        
        Thank you for your email I m out of the office and will be back at 2016-09-19 , Ilya Indigo, 14-Сен-16, 17:09 (92)
        You can see the declined request here 0 I have to say that I wasquite busy fo , Ilya Indigo, 15-Сен-16, 14:48 (95)
- ПодфАртило От слова фарт , а не от слова форт Повезло, а не укрепило В нагр, Нет, 14-Сен-16, 14:53 (89) //
  - Благодарю, запомню , Ilya Indigo, 14-Сен-16, 15:05 (90)
PostgreSQL решает проблему , Аноним, 12-Сен-16, 21:08 (11) //
- Привнося массу своих https eng uber com mysql-migration Но Postgres - хорошая , А, 13-Сен-16, 00:53 (22) //
  - Хорошая школа - простой NoSQL Который не умеет в произвольные файлы записывать,, Аноним, 13-Сен-16, 04:23 (24) //
    - А postgresql и не умеет, если специальными плагинами не обвеситься , Аноним, 13-Сен-16, 04:31 (26)
      - COPY SELECT asdf TO tmp asdf txt https www postgresql org docs current , 1, 13-Сен-16, 12:31 (48)
        
        И правда Тьфу на них , Аноним, 13-Сен-16, 13:40 (55)
    - Хорошая школа - простой NoSQLДля информации NoSQL расшифровывается как not only , Лютый жабист_, 13-Сен-16, 05:02 (28)
      - Ровно до той поры, пока не нужна консистентность данных и сложные выборки И жрё, Аноним, 13-Сен-16, 08:39 (32)
      - Единственная прям фича монги - это шардинг из коробки Выбор же btree для докумен, Аноним, 13-Сен-16, 13:50 (56)
      - так не надо пользоваться программами от жабистов-апачистов, не могут они в безоп, Аноним, 13-Сен-16, 16:00 (60)
    - только лучший NoSQL - это тоже PostgreSQL , Аноним, 13-Сен-16, 09:49 (34)
    - Скажи честно, NoSQL ты видел толко на картинке Или ты говоришь о некой конкретн, angra, 13-Сен-16, 10:25 (38)
      - Ага DBF , Аноним, 13-Сен-16, 13:18 (51)
      - я еще и пользуюсь внаглую несколькими видами баз key-value и желаю удачи тебе и , Аноним, 13-Сен-16, 17:24 (66)
        
        Но их названия ты конечно не скажешь А то вдруг тебе покажут, как они могут пис, angra, 14-Сен-16, 06:36 (87)
    - Такой как redis Понятно, что дело было не в бобине, и тем не менее , ueueue, 13-Сен-16, 12:12 (44)
  - Если внимательнее прочитать, то понятно, что это всё не абсолютные преимущества , Аноним, 13-Сен-16, 04:29 (25) //
    - Неужто в документации сразу пишут об еще не обнаруженных багах А может там пишу, angra, 13-Сен-16, 10:30 (41)
      - Это вы так жестоко про MySQL Килотонны багов на https bugs mysql com , Аноним, 13-Сен-16, 12:18 (45)
        
        Нет, не про мускул, не про постгрес и даже не про их сравнение по забагованности, angra, 13-Сен-16, 13:01 (49)
      - ну у ребят из skype как то же получилось прочитать документацию , Аноним, 13-Сен-16, 13:09 (50)
      - Репликацию сделали нормальную физическую Физическая репликация потребляет трафи, Аноним, 13-Сен-16, 13:36 (54)
        
        Какие критерии нормальности Сразу начинаем с демагогии Хороший старт Любая ре, angra, 13-Сен-16, 14:29 (57)
        
        Мы не о настоящем говорим, а о прошлом, WAL decoder уже есть - pglogical, даже в, Другой Аноним, 15-Сен-16, 08:37 (93)
        
        большие объемы траффика стоят много денег, поэтому если проект взлетает - потреб, Аноним, 14-Сен-16, 02:14 (85)
        
        физическая репликация надежнее если у тебя пара серваков например с биллингом, , Другой Аноним, 15-Сен-16, 09:01 (94)
И что, selinux в нормальных дистрибутивах не спасёт Политиками разрешена запись, Аноним, 12-Сен-16, 21:14 (12) //
- Скажу больше, selinux из коробки вообще не спасает Только создает видимость безо, Аноним, 12-Сен-16, 21:37 (13)
- В нормальных дистрибутивах например в альтлинукс нет selinux , Shichael Migorin, 13-Сен-16, 16:42 (64)
dev-db mysql-5 6 31 0 18 gentoodev-db mariadb-10 0 26 0 18 gentooЖдемс обновде, LinuxID, 12-Сен-16, 22:28 (18)
В перконе уже пофиксили , stalker37, 12-Сен-16, 23:05 (21) //
- Где в перконе пофиксили в репо 5 6 32 а надо 5 6 33Или я не прав , Христофор, 13-Сен-16, 05:58 (29) //
  - This is a CRITICAL update, and the fix mitigates the potential for remote root c, stalker37, 13-Сен-16, 12:22 (47)
В марие пофиксили с третьей попытки 1 https github com MariaDB server comm, Аноним, 13-Сен-16, 04:49 (27)
Гмм получается MariaDB 10 1 не уязвима , Аноним, 13-Сен-16, 10:12 (36) //
- Да похоже это не LTS, Аноним, 13-Сен-16, 10:28 (40)
Может кто-нибудь объяснить как подразумевается использовать эту уязвимость Либо, ALex_hha, 13-Сен-16, 11:20 (43) //
- Всякие движки ставят с правами SUPER privilege и оно это деплоит, это не под стр, Аноним, 13-Сен-16, 12:19 (46) //
  - получение рута на сервере - это не большой факап может вы сразу тогда всем жела, Аноним, 14-Сен-16, 02:11 (84)
- Для этого придется пройти по ссылке и прочитать оригинал на английском Там есть, angra, 13-Сен-16, 13:22 (52)
А какого хрена mysql вообще работает под root Тот же postgres делает setgid set, Аноним, 13-Сен-16, 13:35 (53) //
- Еще один нечитатель Мускул не работает под рутом , angra, 13-Сен-16, 14:32 (58)
Эксплуатация возможно только если у пользователя есть право FILE или SUPER на БД, CHERTS, 13-Сен-16, 16:28 (61) //
- В альтлинуксе именно так и есть , Shichael Migorin, 13-Сен-16, 16:40 (63)
- GRANT ALL PRIVILEGES ON db TO user localhost IDENTIFIED BY password А это , Ilya Indigo, 13-Сен-16, 16:45 (65) //
  - Да При этом ни FILE, ни SUPER получены не будут А вот так делать нельзя GRANT , angra, 14-Сен-16, 00:32 (78)
- Ничего подобного, вы просто не дочитали до конца It is worth to note that attack, Аноним, 13-Сен-16, 23:09 (74)
Такие разрешения дает только идиот Максимум, что нужно для любого LAMP хостинга, CHERTS, 13-Сен-16, 21:27 (71) //
- А ты бы поинтересовался для начала, что именно выдаст ALL при применении на DB, , angra, 14-Сен-16, 00:38 (79)
я собственно читал оригинал автора, который и нашел эту уязвимость - http lega, ALex_hha, 13-Сен-16, 22:17 (73) //
- Посмотрите ещё раз упоминание CVE-2016-6663, который позволяет обойтись без прав, Аноним, 13-Сен-16, 23:11 (75)
- Согласен, но FILE все-таки выдается куда чаще, чем SUPER Мне самому интересно у, angra, 14-Сен-16, 00:41 (80)
то ли я плохо читал, то ли не нашел, как именно можно создать var lib mysql my , ALex_hha, 14-Сен-16, 01:09 (81) //
- Почитай в багтрекере https bugzilla novell com show_bug cgi id CVE-2016-6662, Аноним, 14-Сен-16, 02:09 (83)
- Интересно, как ты читал CVE-2016-6663, если его детали пока еще не опубликованы , angra, 14-Сен-16, 04:18 (86)
имеется ввиду proof of concept, по ссылке, которую я привел выше Кстати интересн, ALex_hha, 14-Сен-16, 10:44 (88)
Объясните тупому, у меня на сервере CentOS 6 6 и там только MySQL 5 1 - эта верс, Аноним, 14-Сен-16, 16:29 (91) //
- Согласно комментарию https bugzilla redhat com show_bug cgi id 1375198 c13 у, Andrew, 15-Сен-16, 23:03 (96)
А как можно атаковать удалённо, если skip-networking При включённом skip-networ, rvs2016, 01-Окт-16, 23:03 (98)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру