The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

21.01.2019 21:19  Скомпрометированный MySQL-сервер может получать произвольные локальные файлы клиентов

Исследователь безопасности Willem de Groot обратил внимание на недоработку, напоминающую недавно выявленную уязвимость в реализации SCP. Подконтрольный злоумышленнику сервер MySQL может получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды "LOAD DATA LOCAL" файлов сервер может загрузить произвольные файлы с системы клиента, например, SSH-ключи или параметры криптокошельков.

Как и в случае SCP, проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотека лишь выполняет переданную сервером команду без проверки её соответствия исходному запросу. Подразумевается, что имя файла, указанное в отправленной пользователем конструкции "LOAD DATA...LOCAL", совпадает с именем файла, указанным в запросе сервера. В случае, если сервер MySQL контролируется злоумышленником, он может быть модифицирован для запроса произвольных файлов.

Поддержка LOAD DATA...LOCAL" на стороне клиента регулируется сборочной опции "ENABLED_LOCAL_INFILE" и параметром MYSQL_OPT_LOCAL_INFILE в mysql_options(). В ветке MySQL 8.0 данный режим был отключён по умолчанию, но остаётся включён в ветках 5.5, 5.6 и 5.7.

  1. Главная ссылка к новости (https://www.reddit.com/r/progr...)
  2. OpenNews: Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP
  3. OpenNews: Критическая root-уязвимость в MySQL
  4. OpenNews: Уязвимость в MySQL, позволяющая поднять свои привилегии
  5. OpenNews: Стабильный релиз СУБД MySQL 8.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mysql
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Ivan_83 (ok), 21:42, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +7 +/
    "Проблеме" уже много лет, 5 точно есть, это не новость.
     
     
  • 2.2, пох (?), 21:45, 21/01/2019 [^] [ответить]    [к модератору]
  • –2 +/
    не, ты не понял - это обратная той пятилетней давности новость, идея та же что у scp - тогда загружался (или портился) файл на сервере по кривой команде клиента, а тут _сервер_, ВНЕЗАПНО, оверрайдит .profile - _тебе_.

    прикольна, чо. Особенно учитывая набор невыясненных дырок во всех ныне доступных в дистрибутивах версиях и вчера-вышедшую 25 с неведомым набором исправлений, которой еще нигде нет.

     
     
  • 3.17, Аноним (17), 08:57, 23/01/2019 [^] [ответить]    [к модератору]
  • +/
    чукча, man почитай - load local передает файл на сервер
     
  • 1.3, Xasd (ok), 22:11, 21/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    в pacman похожая хрень при скачивании пакетов -- ну не прям такая же -- но суть в том что сервер говорит как называется пакет, независимо от того что просит сам pacman-клиент

    прям совсем любой файл это НЕ позволяет перезаписать -- но всё равно не очень приятно.

    (давно заметил, багрепорт не писал -- так как очень сильной опасности не-видел-и-не-вижу)

     
     
  • 2.4, Аноним (4), 23:32, 21/01/2019 [^] [ответить]    [к модератору]
  • +9 +/
    Я тебе страшную вещь скажу: контролируя репозиторий, можно добиться перезаписи любого файла в системе или выполнения произвольного кода при установке/удалении/обновлении пакета. С любым пакетным менеджером.
     
     
  • 3.5, Анонимчжан (?), 00:26, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    более страшную новость скажу. они это и делают)) ага.
     
  • 3.15, Xasd5 (?), 23:39, 22/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > контролируя репозиторий, можно добиться перезаписи любого файла в системе или выполнения

    а контролируя ЗЕРКАЛО в репощитория?

    или контролируя интернет-провайдера?

    я же блин, говорю о том что хрень происходит прям с серверной стороны.. а кто там находится по ту сторону (серверную) -- уж точно не обязательно мэйнтейнеры пакетов.

     
     
  • 4.19, Аноним (19), 06:46, 24/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > или контролируя интернет-провайдера?

    Там чо, файлы по открытому каналу летают? :)

     
     
  • 5.20, Xasd (ok), 01:18, 25/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Там чо, файлы по открытому каналу летают?

    да!

    потом конечно цифровая подпись проверяется (gnupg) .. но это уже когда они на в файловой системе оказались

    >  :)

    ничего смешного кстати.. это вам не https-какой-нибудь-там

     
  • 1.6, Аноним (6), 00:38, 22/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    А как с этим у MariaDB?
     
     
  • 2.7, Аноним (7), 04:12, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Присоединяюсь к вопросу.
     
     
  • 3.8, анон (?), 08:22, 22/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    ничё, что на стороне клиента прикол?
     
     
  • 4.9, ig0r (??), 11:49, 22/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    А ничего что mariadb это не только сервер но и клиент?
     
  • 2.10, нах (?), 11:57, 22/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > А как с этим у MariaDB?

    а как с "этим" может быть у копипастеров? Так же, как и в том, что скопипастили, очевидно.

    Ничего, щас распотрошат дифы от последней оракловой версии, и радостно отрапортуют, что и как исправили. Или нет.


     
     
  • 3.11, Аноним (11), 12:32, 22/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Копипастер это автор оригинальной MySQL?
     
     
  • 4.12, нах (?), 12:56, 22/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    там был сильно не один автор, и maria ни разу не форк с определенной точки где "пришел злой орацл и все испортил". Поэтому таки да, копипаста, с добавлением там и тут своих деталек - неужели ты думаешь, что он будет переписывать клиентлибу с нуля или возвращаться к версии 2005го года и допиливать ее под современный сервер?

     
     
  • 5.14, Аноним (14), 15:52, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    вы все путаете - пришел злой Sun (именно тогда был сделан Мари-дб а не когда Oracle пришел).
    тогда дядя пытался только отжать MySQL (TM), но не вышло.
     
  • 5.16, Аноним (4), 02:22, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Вроде бы именно клиентлибу переписали полностью, дабы сменить лицензию на более кошерную с их точки зрения.
     
     
  • 6.18, нах (?), 14:31, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    ну типа оракл открыл исходник - проверяйте, чо...

     
  • 4.13, Аноним (14), 15:51, 22/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Это который просил / требовал передавать права на патчи Вендиусу великому.. дабы он мог продать воздух.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor