https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html В библиотеке libmysqlclient, используемой для подключения к СУБД MySQL, MariaDB и Percona Server, выявлена (http://www.ocert.org/advisories/ocert-2015-003.html) уязвимость (http://backronym.fail/) (CVE-2015-3152), позволяющая обойти создание шифрованного канала связи и организовать MITM-атаку между клиентом и СУБД. Проблема связана с тем, что при активации в настройках установки соединения с использованием SSL, если такое соединение не удалось установить, то канал связи всё равно устанавливается, но без применения шифрования. Подобное поведение является документированным, оно было изменено в ветке MySQL 5.7, но продолжает (http://mysqlblog.fivefarmers.com/2015/04/29/ssltls-in-5-6-and-5-5-ocert-advisory/) применяться в ветках MySQL 5.5 и 5.6.<br><br><br><br>Проблема была устранена в кодовой базе MySQL 5.7.3 ещё в декабре 2013 года, но не была причислена к категории уязвимостей, поэтому остаётся неисправленной в ветках MySQL 5.5/5.6, а также во всех выпусках MariaDB и Percona Server. При этом, в MariaDB поставляется https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#22 Thu, 07 May 2015 07:02:42 GMT &gt; Если не знаете вообще о чём речь, не стоит лезть с комментариями. <br><br>Вот эта новость - яркий пример того, что нативные средства защиты бд от внешних угроз даже разработчиками воспринимаются как бонус, качаство которого никто не гарантирует, и который реализован скорее для галочки, чтобы было чем рекламный проспект наполнить. И подавляющее большенство людей это понимает и НЕ открывает доступ из диких сетей к базам.<br><br>Я прекрасно понимаю о чем говорю, и поэтому для диких сетей использую только проверенных "бойцов", таких как ssh и ssl, да последний не так давно обмочился, но на этот случай есть 2й эшелон защиты, который как минимум выигрывает время для вмешательства, в конце концов мне зарплату платят в том числе и за это.<br><br>А вы, по факту, жалуетесь на то, что чехольчик телефона, который вам в магазине подарили при покупке телефона - порвался, криво построили сеть и наивно положились на рекламный проспектик, в котором написанно - ssl, вместо того, что бы прочесть документацию как минимум, так что не надо м https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#21 Thu, 07 May 2015 05:30:32 GMT Если не знаете вообще о чём речь, не стоит лезть с комментариями.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#20 Wed, 06 May 2015 19:37:58 GMT &gt; Постгрес наше всё ;-) <br><br>Ваш пост огорчает мальчиков, лепящих сайты за еду на LAMP'овых хостингах.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#19 Wed, 06 May 2015 15:51:18 GMT Постгрес наше всё ;-)<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#18 Wed, 06 May 2015 15:04:38 GMT идиоты, выставляющие сервер БД напрямую в интернеты, не вымерли ещё? воистину, господь ненавидит идиотов и не хочет забирать их к себе.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#17 Wed, 06 May 2015 14:56:35 GMT Ни разу не смешно.<br><br>Весь раздел документации MySQL про SSL писан индусами, которые не отличают сертификат CA от сертификата ключа. А чтобы этот бардак хоть как-то заработал, в документации же командуют неявно отключить SSL.<br><br>Сверх того PHP-шники насильно отключают проверку сертификата ключа сервера. Чтобы не ставить дополнительный пакет корневых сертификатов CA.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#16 Wed, 06 May 2015 14:53:39 GMT &gt; А через свою открытым текстом типа можно гонять?<br><br>Ну если вы жене не доверяете, то вы плохой муж, иначе вы в достаточной степени осведомленны о том, что у вас в сети творится и способны организовать защищенный сегмент.<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#15 Wed, 06 May 2015 14:41:47 GMT &gt; Городить что-то специально для работы с БД в случае десятков и сотен <br><br>У вас сотни клиентов sql запосы шлют прямо в БД? или открывают вэбморду через ssl и вносят/меняют данные из форм, чего городить? все уже давно нагороженно бери да пользуйся.<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/102422.html#14 Wed, 06 May 2015 14:28:57 GMT Тоже соглашусь, мне в моих сетях это шифрование нафиг не упало, только серверную греет, а открывать любой sql на внешку это черевато ддосом как минимум, вообще нормальные базы крутятся в защищенных сегментах защищенных корп сетей, слить данные почти не реально, сливают конечно, но как правило ломанув какой-нить ноут какого-нить лопушка который работал по удаленки и докуда рученки корпбезопасности не могут дотянуться по определению, а все до чего могут дотянуться регулярно сканируется и сверяется с реестром разрешенного, поэтому всю нелегальщину приходится прятать очень глубоко и надежно.<br>