The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в MySQL

10.02.2012 15:13

В конце января компания Oracle опубликовала сводный отчёт об узявимостях, устранённых в различных продуктах компании. В отчёте сообщалось, что в MySQL исправлено 27 уязвимостей. Информация в отчёте была предоставлена только в общем виде, не дающем судить о характере проблем. С момента публикации отчёта прошло уже несколько недель, но подробности так и не опубликованы.

В связи с подобным сокрытием информации производители Linux-дистрибутивов оказались в тупике, так как не ясно, какие исправления нужно бэкпортировать в поддерживаемые пакеты MySQL. Информация об уязвимостях ограничивается номером CVE, уровнем опасности, информацией по веткам MySQL и не несущим особого смысла однострочным описанием. Интересно, что подобный отчёт (Critical Patch Update) для MySQL выпускается в первый раз, поэтому непонятно, за какой период там собраны уязвимости (написано, что включена информация о всех уязвимостях, исправленных с момента прошлого отчёта, но загвоздка в том, что это первый отчёт). Тем не менее компания Red Hat вчера выпустила обновление для пакета mysql-5.1.61 из состава RHEL 6, в котором устранено 17 выявленных уязвимостей (Oracle заявляла об исправлении 27). Примечательно, что исправления для Oracle Linux полностью копируют обновление для RHEL без дополнительных правок.

Наиболее вероятно, что в отчёте Oracle опубликованы данные об уязвимостях, уже исправленных по мере выхода новых Community-выпусков MySQL. Как правило, в корректирующих выпусках устраняется несколько ошибок, позволяющих вызвать крах процесса посредством выполнения специально оформленного SQL-запроса. Общие данные в отчёте показывают, что большинство упомянутых уязвимостей имеют именно такой характер, т.е. позволяют инициировать крах СУБД через выполнение специально оформленного SQL-запроса аутентифицированным пользователем. Дополнительно одна DoS-уязвимость позволяет вызвать отказ в обслуживании неаутентифицированным пользователем, две уязвимости позволяют аутентифицированным пользователем получить доступ к закрытым данным, одна уязвимость позволяет локальному пользователю поднять свои привилегии.

Производители ответвлений от MySQL, таких как MariaDB, столкнулись с не меньшими трудностями: непонятно, проявляются ли данные уязвимости для их веток, связаны ли уязвимости с известными ошибками, уже исправленными в ходе обычного процесса исправления ошибок, или это принципиально новые проблемы. Попытки выяснить подробности у Oracle завершаются советом использовать самые свежие версии MySQL, в которых данные уязвимости уже исправлены (судя по всему, речь о MySQL Enterprise с последним Critical Patch Update).

Окончательная путаница возникла после появления неподтверждённого заявления об обнаружении в последнем выпуске MySQL 5.5.20 опасной 0-day уязвимости, позволяющей удалённо атаковать MySQL-серверы. Сообщается, что уже создан работающий эксплоит, который успешно работает при использовании на сервере пакета mysql-5.5.20-debian6.0-i686.deb с сайта mysql.com. Подтверждённой информации по данной уязвимости пока нет; также непонятно, новая это уязвимость или уязвимость из числа 27 проблем в списке Oracle.

Дополнение: за две недели официального ответа на вопрос в packagers@mysql также не поступило.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Уязвимости в MySQL
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/33051-mysql
Ключевые слова: mysql, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 15:35, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    почему, ну почему Оракл не может сделать это по-человечески?
     
     
  • 2.73, A (?), 22:37, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Потому что ему нафиг не нужен MySQL и его пользователи тоже до лампочки. MySQL вообще никому не нужен после продажи Sun'у. Поэтому, если тебе нужна совместимость с MySQL, то есть MariaDB и Percona. А для новых проектов лучше использовать Postgres.
     
  • 2.94, trdm (ok), 01:09, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а она и делает чисто по человечески: сначала продаст код эксплойта кому надо, а потом заделает дырку: и волки сыты и овцы довольны :))))))))))))
     
  • 2.102, anonymouis vulgaris (?), 03:13, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > почему, ну почему Оракл не может сделать это по-человечески?

    просто вы с крупными компаниями не сталкивались, там сейчас все так делается - кое-как и кое-кем и всем все пофиг, смешно тут читать про суперстратегические задумки. Не ну может у верхнего менеджмента какие потуги и есть, но в середине и внизу их так реализуют что мама не горюй.


     
     
  • 3.157, Кирилл (??), 12:10, 17/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В общем, да. Продажникам на качество продукта пофигу, для них существует только нынешнее время и маркетинговые показатели.
     
  • 2.148, Diden05 (ok), 19:58, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А как иначе Ынтерпрайз то MySQL продавать?
    Оракел такой Оракел
     

  • 1.3, Аноним (-), 15:41, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL

    А почему ораклу должно быть дело до каких-то бекпортов в каких-то дистрибутивах?

     
     
  • 2.6, daemonpnz (ok), 15:49, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL
    > А почему ораклу должно быть дело до каких-то бекпортов в каких-то дистрибутивах?

    Потому что, тогда их MySQL уйдёт глубоко в жопу, если его выкинут из других дистрибутивов из-за нерешённых проблем безопасности.

     
     
  • 3.8, Аноним (-), 15:54, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблемы решены, новая версия выпущена. Если какие-то дистрибутивы не в состоянии обновлять свои репозитории, то оракл тут ни при чём.
     
     
  • 4.12, Аноним (-), 16:11, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Обновления в дистрибутивах не сводятся к компиляции свежей версии.
     
     
  • 5.23, anonymous (??), 18:02, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да, это так, к сожалению. Хотя должны сводиться именно к этому.
     
     
  • 6.45, Аноним (-), 19:52, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению? А кто  будет совместимость обеспечивать?
     
     
  • 7.82, anonymous (??), 23:54, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Разработчики приложения, кто же ещё? Это их задача, не мейнтейнеров.
     
     
  • 8.87, Аноним (-), 00:57, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А они её не обеспечивают ... текст свёрнут, показать
     
     
  • 9.113, anonymous (??), 10:59, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если не обеспечивают, то надо искать другое приложение, а не городить костыли ... текст свёрнут, показать
     
  • 6.50, Аноним (-), 20:22, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, это так, к сожалению. Хотя должны сводиться именно к этому.

    Должны? Кто должны? Кому должны? В этом мире никто никому ничего не должен. Особенно майнтайнеры. Особенно подстилкой под оракла работать.

     
     
  • 7.104, Аноним (-), 03:47, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    сдается вы не понимаете роль разработчиков при выпуске maintance релизов.
    В нормальной компании маинтейнеры отвественны только за упаковку.
    А то получится как в том дебиане - когда маинтейнер SSH посчитав себя умнее разработчиков сделал дырку.
    Помните этот случай? Так вот..
     
     
  • 8.156, Я (??), 15:15, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В таком дистрибутиве у вас работать вообще ничего не будет Бывает и так ... текст свёрнут, показать
     
  • 4.21, ананим (?), 17:29, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Примечательно, что исправления для Oracle Linux полностью копируют обновление для RHEL без дополнительных правок.

    ???

     
     
  • 5.47, Аноним (-), 20:06, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Оракл прячет патчи даже от своих разработчиков.
     
  • 3.9, Andrey Mitrofanov (?), 16:03, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > когда его выкинут из других дистрибутивов из-за невменяемого проприерастичного апстрима.

    fixed.

     
     
  • 4.51, Аноним (-), 20:24, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> когда его выкинут из других дистрибутивов из-за невменяемого проприерастичного апстрима.
    > fixed.

    Ну дождутся что все дружно свалят на MariaDB и воткнут альяс на пакет ведущий вот туда. И будут потом опять локти грызть из-за невозможности влиять на ситуацию, типа как с опенофисом.

     
     
  • 5.53, arisu (ok), 20:26, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну не умеют они опенсорц, не умеют. и учиться на своих ошибках не хотят. туда им и дорога, значит.
     
     
  • 6.105, Аноним (-), 03:51, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > ну не умеют они опенсорц, не умеют. и учиться на своих ошибках
    > не хотят. туда им и дорога, значит.

    Они делают правильно - выпуская maintance обновления.
    И не хотят полагаться на Васю с печи который при бэкпорте патчей внесет дырку.
    Они сами выпускают обновления и отвечают за то что бы они были вовремя.

    А тебе дай только по лаять на Oracle, сам небойсь ничего похожего не делал и не занимался поддержкой софта.

     
     
  • 7.150, Аноним (-), 20:06, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Они делают правильно - выпуская maintance обновления.

    Правильно они делают только с точки зрения корпоративных старперов оставшихся в своих ранних девяностых и не осознающих что с тех пор прошло 20 лет...

     
  • 5.151, Diden05 (ok), 20:07, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ога, то то парни из MariaDB в ступор встали, ой не знаем что бэкпортить.
     

  • 1.5, arcade (ok), 15:42, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скорее всего проблема связана с уходом из проекта кучи разрабов. Хотя ораклу плюсик - последний год сижу на 5.5 - пашет тихо и спокойно, а раньше это была просто светомузыка...
     
     
  • 2.7, oops (ok), 15:50, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ага, только это плюсики сану и гуглу
     
     
  • 3.31, Аноним (-), 18:39, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, только это плюсики сану и гуглу

    При сане как раз мускуль был в полной заднице. Оракл его хоть допилил до вменяемого состояния.

     
     
  • 4.32, samm (ok), 18:42, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Ага, только это плюсики сану и гуглу
    > При сане как раз мускуль был в полной заднице. Оракл его хоть
    > допилил до вменяемого состояния.

    Вот соглашусь, да. 5.5 и готовящийся 5.6 - самые вменяемые релизы мискла. Проблемы оракла - это полное неумение и нежелание работать с community, что видно и с (Open)Solaris и с MySQL.

    Надеюсь, что научатся.

     
     
  • 5.36, Аноним (-), 18:47, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не надейся. "Проблемы коммьюнити^Wиндейцев шерифа не е.ут".

    Доходчиво? В Оракле зарабатывают бабки для Ларри, а не занимаются непонятной х.ней и заячьими плясками со Столлманом в пользу неведомого е.аного^Wсветлого будущего.

     
     
  • 6.64, samm (ok), 21:55, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не надейся. "Проблемы коммьюнити^Wиндейцев шерифа не е.ут".
    > Доходчиво? В Оракле зарабатывают бабки для Ларри, а не занимаются непонятной х.ней
    > и заячьими плясками со Столлманом в пользу неведомого е.аного^Wсветлого будущего.

    "Деньги для Ларри" тут ни при чем. Уже есть немалая вероятность, что центр разработки ZFS и MySQL будет не оракл. И тогда повлиять на ситуацию будет невозможно. Как это случилось с тем же Xfree86.

     
     
  • 7.75, Аноним (-), 22:45, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Уже есть немалая вероятность, что центр разработки ZFS и MySQL будет не оракл.

    Да ну? И какие же компании так рвутся на себя это взвалить, если не секрет?

     
     
  • 8.78, samm (ok), 23:13, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    отнюдь не секрет - MariaDB и Percona могут занять эту нишу Уже часть важных про... текст свёрнут, показать
     
     
  • 9.106, Аноним (-), 03:57, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    могут а почему ты решил что они будут это делать А MariaDB это компания хозяи... текст свёрнут, показать
     
     
  • 10.117, samm (ok), 12:21, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что это рынок Жалко, что вы не умеете читать написанное абзацем выше Э... текст свёрнут, показать
     
  • 8.79, samm (ok), 23:15, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По поводу ZFS - та же ixsystems и Nexenta, насколько я знаю уже начали это делат... текст свёрнут, показать
     
     
  • 9.89, Аноним (-), 01:05, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Названные вами компании занимаются не разработкой, а продажей решений на базе ZF... текст свёрнут, показать
     
     
  • 10.118, samm (ok), 12:22, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Они заявляли о финансовой поддержке community разработчиков ZFS Впрочем, время ... текст свёрнут, показать
     
  • 10.147, arcade (ok), 14:19, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почитайте коммиты во фрю, там регулярно мелькает в патчах строчка Sponosred by i... текст свёрнут, показать
     
  • 5.52, Аноним (-), 20:24, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Надеюсь, что научатся.

    Нафига оно им? Что их к этому побудит?

     
     
  • 6.66, samm (ok), 21:56, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Надеюсь, что научатся.
    > Нафига оно им? Что их к этому побудит?

    К этому может побудить то, что центр разработки продуктов сместится в сторонние компании. Ну  и просто здравый смысл может побудить, я не думаю что кто-то получает выгоду от такого ужасного взаимодействия.

     
     
  • 7.72, arisu (ok), 22:27, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да нет никакого «взаимодействия». есть полное непонимание оракулем опенсорца и принципов его работы. они считают, что есть мускуль купили — то могут так же диктовать условия, как и для своей закрытой базы. куда юзеры с подводной лодки-то?

    буду сильно смеяться, если через некоторое время открытая версия мускуля тоже попадёт в могильник опача, а оракуль останется с закрытой проприетарной версией, совместимой лишь с самой собой.

     
     
  • 8.80, samm (ok), 23:17, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    не совсем так плохо Как минимум на opensource встречах разработчики мискла из о... текст свёрнут, показать
     
     
  • 9.81, arisu (ok), 23:20, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    дык на разработчиков-то никто особо и не гонит волну но рулят, увы, вовсе не он... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (18)

  • 1.13, Аноним (-), 16:20, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если продукт MySQL не будет поддерживать сообщество то многие баги будут не выявленными. Включая коммерческие продукты оракла, которые на нем основаны
     
     
  • 2.93, Аноним (-), 01:09, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Если продукт MySQL не будет поддерживать сообщество то многие баги будут не
    > выявленными. Включая коммерческие продукты оракла, которые на нем основаны

    Вы думаете, оракловцев так беспокоят невыявленные баги?

     
  • 2.107, Аноним (-), 03:59, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Если продукт MySQL не будет поддерживать сообщество то многие баги будут не
    > выявленными. Включая коммерческие продукты оракла, которые на нем основаны

    сдается вы врете :) Комюнити никогда не служило заменой QA - а вот грамотный QA вполне может заменить стадо слонов которые могут толкаться в одном месте и не замечать багов чуть в стороне.

     

  • 1.16, Pilat (ok), 16:23, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    mysql Ораклу вообще не нужен, скорее даже вреден, ведь он оттягивает на себя часть клиентских денег.
     
     
  • 2.18, FFASM (ok), 17:05, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Только они ответили: Без mysql нам SUN не нужен. Купили с целью закапать?
     
     
  • 3.33, Аноним (-), 18:42, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Только они ответили: Без mysql нам SUN нe нужен. Купили с целью зaкапать?

    Покупают с целью зaкапать - глазные капли.
    Ораклу мускл нужен для того, чтобы закрыть рыночную нишу ма-а-аленьких БД, в которую их собственный продукт не лезет даже с вaзелином.

     
  • 3.95, VoDA (ok), 01:22, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Только они ответили: Без mysql нам SUN не нужен. Купили с целью
    > закапать?

    Купили Sun с целью влиять на развитие java. MySQL оказался дополнением, как OpenOffice, Hudson и другие.


     
  • 2.29, Аноним (-), 18:35, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > mysql Ораклу вообще не нужен, скорее даже вреден, ведь он оттягивает на
    > себя часть клиентских денег.

    Лоровские аналитики?
    Тема к размышлению: почему мускул ни разу не конкурент оракловской базе.

     
     
  • 3.37, Аноним (-), 18:48, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> mysql Ораклу вообще не нужен, скорее даже вреден, ведь он оттягивает на
    >> себя часть клиентских денег.
    > Лоровские аналитики?
    > Тема к размышлению: почему мускул ни разу не конкурент оракловской базе.

    В нем нет ссылочных констрэйнтов? :) Из-за чего он ни разу не реляционная БД? :)

     
     
  • 4.48, Аноним (-), 20:18, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока что мимо. Продолжайте.
     
  • 3.127, www2 (??), 15:58, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ты, видимо, тоже один из лоровских аналитиков.

    Тема к размышлению: почему оракл ни разу не конкурент мускульной базе?

    В общем, тут ситуация двоякая, они не конкуренты друг другу, просто оракл хочет покрыть больший процент рынка, предлагая свои решения для каждой из существующих рыночных ниш.

     
  • 2.86, all_glory_to_the_hypnotoad (ok), 00:33, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не неси чуши. mysql с его многочисленными клонами по текущим техническим мерккам гогно полное и вообще ничего на себя из ком. сектора не оттягивает.
     
     
  • 3.124, Кирилл (??), 13:05, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > не неси чуши. mysql с его многочисленными клонами по текущим техническим мерккам
    > гогно полное и вообще ничего на себя из ком. сектора не
    > оттягивает.

    Смотря для чего.

     
  • 3.128, www2 (??), 16:03, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > не неси чуши. mysql с его многочисленными клонами по текущим техническим мерккам
    > гогно полное и вообще ничего на себя из ком. сектора не
    > оттягивает.

    Не оттягивает только по той простой причине, что между мускулем и коммерческими решениями есть ещё два хороших варианта - PostgreSQL и Firebird. А вот если бы не было бы этих двоих, то альтернативой мускулю были бы только коммерческие решения. То есть, получается, что мускуль, наряду с постгресом и огнептицей, клиентов у коммерческих предложений всё-же уводит.

     

  • 1.17, Аноним239 (?), 16:46, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Спешите видеть, в линейке систем удаленного управления прибыло: К системам удаленного управления десктопом, с дополнительными функциями чтения pdf и  просмотра видео, прибавилась система удаленного управления сервером, с дополнительной функцией базы данных.
     
     
  • 2.30, Аноним (-), 18:37, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Спешите видеть, в линейке систем удаленного управления прибыло: К системам удаленного управления
    > десктопом, с дополнительными функциями чтения pdf и  просмотра видео, прибавилась
    > система удаленного управления сервером, с дополнительной функцией базы данных.

    Microsoft уже давно выпускает удобные и широко распространенные системы удаленного управления для десктопов и северов. Также эти системы местами пытаются закосить под ОС, но эта функция там побочная и работает достаточно криво.

     

  • 1.22, Аноним (-), 17:42, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Непонятно, неужели нельзя посмотреть на коммиты оракловых разработчиков?
    Или мускуль успел стать проприетарным?
    летчик.жпг
     
     
  • 2.26, Аноним (-), 18:32, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно, конечно. После того, как составите точный список, какой из сотен коммитов какую дыру закрывает - милости просим!
     
     
  • 3.97, Aleksey Salow (ok), 02:46, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно, конечно. После того, как составите точный список, какой из сотен коммитов какую дыру закрывает - милости просим!

    А как же тот самый специалист которому тут всегда предлагают заплатить для того чтобы поддерживать проект или реализовывать новую функциональность?

     
     
  • 4.119, arisu (ok), 12:25, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А как же тот самый специалист которому тут всегда предлагают заплатить для
    > того чтобы поддерживать проект или реализовывать новую функциональность?

    это опция по-умолчанию. но ты-то чего с этим вопросом лезешь? ты ведь никому платить не собираешься. ну и молчи себе.

     
     
  • 5.126, Aleksey Salow (ok), 13:20, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А как же тот самый специалист которому тут всегда предлагают заплатить для
    >> того чтобы поддерживать проект или реализовывать новую функциональность?
    > это опция по-умолчанию. но ты-то чего с этим вопросом лезешь? ты ведь
    > никому платить не собираешься. ну и молчи себе.

    Вот тут любят приводить наличие сорцов как один из плюсов опенсурса. Если проект умрёт, то можно будет найти того самого специалиста который за небольшую мзду будет поддерживать проект и добавлять фичи. А тут живой мускль, и общество не может разобрать что там и какими патчами запатчили баги. Т.е. полезность сорцов вы таки преувеличиваете, вот и всё.

     
     
  • 6.129, www2 (??), 16:11, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Почему же именно за небольшую мзду Тут как везде - за еду работают только безда... большой текст свёрнут, показать
     
  • 6.130, arisu (ok), 16:34, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > за небольшую мзду

    это кто такую ерунду сказал? размер оплаты зависит от сложности работы. ну, и выше тебе верно пояснили: наличие опции лучше отсутствия опции.

    а мне, скажем, вообще без разницы, какие там дырки в мускуле. но это ж не значит, что я за то, чтобы его код закрыли.

     

  • 1.25, samm (ok), 18:31, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну это сильно страшно только для всяких там shared hostings. Обычно mysql извне недоступен.
     
     
  • 2.39, Аноним (-), 18:48, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну это сильно страшно только для всяких там shared hostings. Обычно mysql
    > извне недоступен.

    Да что ты, вихрь! А SQL Injection - это, конечно же, об Оракле.

     
     
  • 3.46, samm (ok), 19:52, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Ну это сильно страшно только для всяких там shared hostings. Обычно mysql
    >> извне недоступен.
    > Да что ты, вихрь! А SQL Injection - это, конечно же, об
    > Оракле.

    ещё раз и по буквам - чаще всего сервер баз данных закрыт. А данным полученным от пользователя не доверяют.  В данной ситуации угроза куда менее опасна. На shared hosting это, естественно, не реализуемо. Также как и на всяких девелоперских платформах с доступом к mysql (читай тот же shared hosting).

     

  • 1.35, Аноним (-), 18:47, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Могу подтвердить 0-day с mysql - на винде в открытой сети он не простоял и 2-х часов. Дебиановский до сих пор живёт вроде как.
     
     
  • 2.40, Аноним (-), 18:49, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Могу подтвердить 0-day с mysql - на винде в открытой сети он
    > не простоял и 2-х часов. Дебиановский до сих пор живёт вроде
    > как.

    Его просто пока не заметили. :)

     
     
  • 3.41, Аноним (-), 18:56, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    На том же IP и на том же порту. :) Только ошибся немного - Ubuntu Server 11.04
     
  • 2.58, Аноним (-), 21:22, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Могу подтвердить 0-day с mysql - на винде в открытой сети он не простоял и 2-х часов.

    А вы уверены, что именно через мускул ломанули? В самой винде много незакрытых дыр.

     
     
  • 3.85, ano (??), 00:17, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Уверен, потому что кроме мускульного порта наружу ничего не торчало.
     
     
  • 4.90, Аноним (-), 01:07, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Уверен, потому что кроме мускульного порта наружу ничего не торчало.

    А кто сказал, что это был не файрвол и не сетевой стек?

     
  • 4.100, Кирилл (??), 02:57, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Уверен, потому что кроме мускульного порта наружу ничего не торчало.

    Значит торчало не наружу. А как это выглядит торчащий мускульный порт? И зачем он торчал?

     
  • 4.152, Аноним (-), 20:10, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Уверен, потому что кроме мускульного порта наружу ничего не торчало.

    У винды недавно был крутой баг с 0day когда udp пакеты на _закрытые_ порты (ессно не фаером снаружи, а самой ОС закрытые) вели к выполнению кода...

     

  • 1.59, Аноним (-), 21:32, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Oracle считает себя не_в_обязанности отчитываться перед сообществом.
     
     
  • 2.68, arisu (ok), 22:03, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Oracle считает себя не_в_обязанности отчитываться перед сообществом.

    что, в общем-то, их право. они только одного не учли: это не их оракуль рдбмс, от которого никуда не денешься, если подсел. ну не могут они понять: «как это — взять исходники и уйти, послав нас нафиг? никогда ведь такого не было, никто так с нами не поступал!»

     
  • 2.84, Аноним (-), 23:59, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Oracle считает себя не_в_обязанности отчитываться перед сообществом.

    "Мы в ответе за тех, кого приру^Wкупили" - эта фраза неизвестна Оракелу. Предлагаю срочно отказываться от всех поделок sunrip'а и этого аллигатора, лучше поздно, чем влететь в зависимость.

     
     
  • 3.92, Аноним (-), 01:08, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > "Мы в ответе за тех, кого приру^Wкупили" - эта фраза неизвестна Оракелу.
    > Предлагаю срочно отказываться от всех поделок sunrip'а и этого аллигатора, лучше
    > поздно, чем влететь в зависимость.

    Чтобы через годик словить такое же счастье с постгресом.

     
  • 2.101, Кирилл (??), 02:58, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Oracle считает себя не_в_обязанности отчитываться перед сообществом.

    Оракл сообществу ни чем и не обязан.

     

  • 1.63, Аноним (-), 21:47, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хитрость в том что обнаружение уязвимостей идет ораклу, а оракл не опубликовывает полный отчет! Не считает она себя в обязанности это делать, так как она купила MySQL! А хозяин - барин! Такое вот НЕДРУЖЕСТВЕННОЕ ПОГЛОЩЕНИЕ copyleft...
     
  • 1.65, Владимир (??), 21:55, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А с год уже не парюсь. Веб проекты строю на PostgrSQL.
    ОЧЕНЬ дружное сообщество, высокая скорость работы, встроенная мастер-слэйв репликация.................
    Дак еще и многие даже шаринг хостеры поддерживают наравне с мускулем!

    Единственный недостаток для начинающих мало примеров для обучения. У кого голова на месте - ничего военного в нем нет! Штатная поддержка PHP, Qt, C, C++, 1С...

    Дерзайте и не замарачивайтесь с раклом.
    Плюс ко всему проверена временем на очень крупных проектах (гугл в помощь).

    Еще, не слушайте, кто говорит PostgreSQL только для крупных проектов - он отлично себя ведет как на мелких, так и на масштабных!

     
     
  • 2.69, Аноним (-), 22:17, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А есть гарантия, что и это не будет поглощено через поглощение компании?...
     
     
  • 3.76, Anon4ik (?), 22:53, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Нет гарантии даже, что вы проживете завтрашний день ("человек внезапно смертен", как говаривал Воланд), а вы о каких-то гарантиях непоглощения.
     
  • 3.88, Аноним (-), 01:05, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А есть гарантия, что и это не будет поглощено через поглощение компании?...

    Есть. MySQL принадлежал одной компании MySQL AB, а у PostgreSQL некого поглощать.

     
     
  • 4.122, Аноним (-), 12:41, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А есть гарантия, что и это не будет поглощено через поглощение компании?...
    > Есть. MySQL принадлежал одной компании MySQL AB, а у PostgreSQL некого поглощать.

    Большинство разработчиков трудоустроены в EnterpriseDB, эта компания неформально задаёт вектор развития и обеспечивает поддержку.

     
  • 2.71, тигар (ok), 22:21, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    а в mysql она не встроенная - раскажи уж как сделать в поцгре работал сервер,... большой текст свёрнут, показать
     
     
  • 3.99, Кирилл (??), 02:54, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём счастье то? И в чём сложность и причём тут WAL? Другое дело, что Слон действительно сложен. Прежде всего из-за довольно слабой дидактической поддержки. На Слона нет своего Тома Кайта.
     
     
  • 4.110, тигар (ok), 07:59, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А в чём счастье то? И в чём сложность и причём тут
    > WAL? Другое дело, что Слон действительно сложен. Прежде всего из-за довольно
    > слабой дидактической поддержки. На Слона нет своего Тома Кайта.

    счатье в малом - иметь работающую репликацию master-slave;)
    причем тут wal? ну не знаю, а как по другому? а если [надолго] стопать нельзя "мастер"?
    меня вообще поклоннички поцгрез (превед, ононим) прикалывают своими "pgsql круче!!!" "чем?" "ЧЕМ mysql!!"

     
     
  • 5.111, anonymous (??), 08:06, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что Postrgesql это СУБД а Mysql раскрученый коммерческий бренд с более благозвучным названием сделаный вокруг идеи 'сцепим пару табличек а там поглядим авось этого хватит, как и 640 килобайт', и только после долгих лет таки костылями изолентой и канцелярским клеем доведенная до звания "СУБД"?
     
  • 5.121, Кирилл (??), 12:40, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Слон безусловно круче, если под круче понимается полная поддержка ACID за счёт относительно быстрого MVCC. Механизм же репликации во всех системах очень похож. Практически везде копируется лог операций. Репликация в последних Слонах (в 9 и 9.1), в общем, беспроблемная даже с "горячим" серваком. Просто нужно тратить время на освоение. И, к примеру, для проектов, где ACID нафиг не нужен, Слон избыточен и слишком медленный.
     
     
  • 6.125, rstone (??), 13:20, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Слон безусловно круче, если под круче понимается полная поддержка ACID за счёт
    > относительно быстрого MVCC. Механизм же репликации во всех системах очень похож.
    > Практически везде копируется лог операций.
    > Репликация в последних Слонах (в 9 и 9.1), в общем, беспроблемная даже с "горячим" >серваком.

    Пробовали , работает только с малым количеством изменений в мастере .

    > к примеру, для проектов, где ACID
    > нафиг не нужен, Слон избыточен и слишком медленный.

    Тогда и DB ( никакой )   не нужен вообще .  

     
     
  • 7.131, Кирилл (??), 16:40, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Огромное количество проектов, использующих MySQL ISAM, свидетельствует об обратном. Как раз ACID мало кому нужен, а если нужен, т.е. данные представляют ценность, то скорее выбирают коммерческие решения от того же Оракла.
     
     
  • 8.138, all_glory_to_the_hypnotoad (ok), 20:08, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ISAM используют вовсе не потому что не нужен ACID, а только потому, что основная... текст свёрнут, показать
     
     
  • 9.140, Кирилл (??), 23:16, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну непонимание тоже можно списать на выбор осознанный ISAM у дельфина хороший... текст свёрнут, показать
     
  • 9.144, Piter_Ring (ok), 03:10, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Нагрузка - нагрузке - рознь У меня есть живой проектик, в котором все табли... большой текст свёрнут, показать
     
     
  • 10.145, all_glory_to_the_hypnotoad (ok), 12:47, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    иннодб пишет логи отката наката И всё даже там более-менее работает если правил... текст свёрнут, показать
     
  • 10.154, Кирилл (??), 21:47, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почитайте на досуге об архитектурных особенностях различных реляционных и не оч... текст свёрнут, показать
     
  • 7.132, Кирилл (??), 16:42, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Пробовали , работает только с малым количеством изменений в мастере .

    Может нужен более толстый канал связи?


     
     
  • 8.139, rstone (??), 22:42, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    не , проблема с IO ... текст свёрнут, показать
     
  • 3.123, rstone (??), 13:02, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/

    > а в mysql она не встроенная?;-)
    > раскажи уж как сделать в поцгре: работал сервер, данных там гигов 100.
    > внезапно решили "да будет слейв у него!" и _внимание_ вопрос: какого
    > объема должен быть винт на этом слейве чтобы эти клевые wal
    > поместились и вообще наступило Счастье?

    У нас 1 ТБ база ( Postgres ) .
    Есть 3 слэйва с 3-4 часовой задержкой ( то есть репликация не совсем онлайн ) .
    WAL'ы лежат отдельно , 40 ГБ в среднем .
    Счастье близко как никогда ранее .

     
  • 2.98, Кирилл (??), 02:48, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вова, Postgre это, скажем так, совершенно не о том.
     
     
  • 3.116, arisu (ok), 12:17, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вова, Postgre это, скажем так, совершенно не о том.

    тем более, что это вовсе даже Postgres, если уж так хочется называть его девичьей фамилией. но в остальном согласен.

     
  • 2.153, playnet (ok), 20:14, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А с год уже не парюсь. Веб проекты строю на PostgrSQL.
    > ОЧЕНЬ дружное сообщество, высокая скорость работы, встроенная мастер-слэйв репликация....

    А мастер-мастер? А мульти-мастер? Для шаред хостинга это не нужно. А для проекта, который занимает хотя бы 4 сервера? Можно конечно через костыли - mysqlproxy/pgproxy и 1 мастер, остальные слейвы.
    Доопустим мастер-мастер сделали. Синхронный. А если сервера стоят в разных ДЦ? Особенно когда проблемы с каналом, любой апдейт занимает от секунды до десятков секунд. Благо есть semi-syncrous синхронизация, когда действие считается успешным, когда изменение всосал _1_ слейв.
    Ура, 9 постгрес научился мастер-мастер почти штатно. А мультимастер? А полусинхронные обновления?

    Я не против постгреса и у него есть сферы. Но не надо делать вид, что у него нет недостатков. И да, он сложен в настройке и сопровождении. Сложнее мускуля.

     
     
  • 3.155, Кирилл (??), 21:50, 13/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Мастер-мастер это уже не репликация, а гетерогенная БД. Полусинхронные обновления это чито? Типа отложенное согласование?
     

     ....большая нить свёрнута, показать (23)

  • 1.141, Аноним (-), 02:20, 12/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Каракуль мстит сообществу за libreoffice. Не обращать внимания на этих щеглов, они просто манипулируют правдой.
     
  • 1.142, Tiv (??), 11:48, 12/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще то, так все светочи делают
    http://www.opennet.ru/opennews/art.shtml?num=29743
    Но виноват конечно Оракл
     
  • 1.143, SteelRat (??), 21:31, 12/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Намутили воду :) "Мускул", по ходу действия, мешает Ораклу вот и мутят - расшатывают/качают.
    Лучше бы своими ДЫРАМИ занимались. Некоторые баги уже 3-4 года не могут залатать, а всё в другие тычат своими кривыми пальцами !
     
  • 1.158, Аноним (-), 22:22, 29/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если компании известно, что некоторые (важные) существующие клиенты не обновились, публикацию деталей задерживают, чтобы не сообщать потенциальным злоумышленникам. Это один из способов заботиться о клиентах. И это не связано с конкретным продуктом.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру