forum.opennet.ru

"Обновление MariaDB с устранением zero-day уязвимости, затраг..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "Обновление MariaDB с устранением zero-day уязвимости,..."	+/–
Сообщение от Etch (?), 04-Дек-12, 00:18
> причём тут, млять, "знал"? 'обязан узнать', особенно когда речь идёт о какой-то > заведомо странной хренотени типа "FILE". Ага, вот и начинается - не знал, но обязан узнать. Обязан, конечно, если тебе за это деньги платят. Вот только в документации про это - сюрприз - в ожидаемом месте ни слова: http://dev.mysql.com/doc/refman/5.6/en/grant.html И в описании про эту опцию тоже не особо много написано (это если ещё найдёшь её): --secure-file-priv=name Limit LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE() to files within specified directory Не, если постоянно админишь линуксы с мускулами, то наверняка такие вещи будешь знать и по-любому включишь эту опцию (опять же, если найдёшь) даже просто чтоб спокойней было. Если это твоя специализация. А если это студент на полставки 10 компов с виндами эникеет плюс сервер с сайтом компании? Жизнь ведь не чёрно-белая, она намного многообразнее. ЗЫ: Нет, мне всё-таки стало очень интересно узнать - сколько людей из считающих, что CVE-2012-5613 не является уязвимостью (или считающих себя крутым админом), знали об этом подводном камне. Ну или если не знали за ненадобностью, то алгоритм ваших действий в случае если надо дать кому-то привилегии "FILE". - По пунктам: начну отсюда, потом почитаю там-то, и в конце включу такую-то опцию. Только чур честно.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Обновление MariaDB с устранением zero-day уязвимости, затраг..., opennews, 03-Дек-12, 20:07 [смотреть все]

Oracle долго еще будет тянуть кота за яица W хвост, GentooBoy, 03-Дек-12, 20:07 (1) //
- Монти vs Oracle 1 0 , Аноним, 03-Дек-12, 20:50 (11)
- Не долго осталось Как мне помнится , когда Oracle скупила весь хабар у Sunто он, Andreys, 04-Дек-12, 08:55 (63)
Глядишь, люди и поймут, что с мускуля пора бежать и куда бежать - тоже ясно, Crazy Alex, 03-Дек-12, 20:20 (2) //
- Кому надо уже давно понял и свалил подальше от оракла Остальные просто пользуют, Z, 03-Дек-12, 20:34 (3) //
  - Ну вот хостерам и будет понятно, Crazy Alex, 04-Дек-12, 15:15 (76)
- И куда бежать Во многих стабильных и бинарных дистрибутивах есть эта мариядб , Etch, 03-Дек-12, 20:39 (6) //
  - Очевидно что на PostgreSQL , Anonym, 03-Дек-12, 20:42 (7) //
    - Нормально так сбежать с повседневной легковушки на брутальный карьерный сам, Аноним, 03-Дек-12, 20:52 (12)
      - Аноним, ты идиот PG это качественная легковушка пусть будет иномарка , а mysq, all_glory_to_the_hypnotoad, 03-Дек-12, 21:10 (17)
        
        Такое сравнение ещё хуже, т к если у ведра отваливаются гайки, то его надо меня, Etch, 03-Дек-12, 21:26 (18)
        
        вот в этом вся ваша сущность, адепты мускуля А если у ведра гайки не отваливают, all_glory_to_the_hypnotoad, 03-Дек-12, 22:30 (24)
        
        Ну при чём тут адепты мускула Есть определённая программа со своими системными , Etch, 04-Дек-12, 00:35 (50)
        
        отлично Но какое это отношение имеет к легковушка vs брутальный самосвал ещё , all_glory_to_the_hypnotoad, 04-Дек-12, 00:50 (53)
        
        Простите, я думал это у вас просто аналогии такие дурацкие, и решил вернуть тему, Etch, 04-Дек-12, 01:35 (59)
        
        Не, не так С точки зрения водителя карьерного самосвала или хотя-бы фуры, инома, Аноним, 04-Дек-12, 00:52 (54)
      - Честно, я не понимаю этих глупых сравнений, по количеству потребляемых ресурсов , Anonym, 03-Дек-12, 23:16 (35)
        
        , всё так и есть , all_glory_to_the_hypnotoad, 03-Дек-12, 23:56 (45)
    - всем наплевать на слона, слишком трудоемкий перезд для ленивых сиадминов, Adui, 03-Дек-12, 21:10 (16)
      - Ленивый сисадимн вымирает как класс, Genix, 03-Дек-12, 22:18 (21)
        
        Только ленивый сисадмин может быть хорошим Работодатели это к сожалению плохо , angra, 03-Дек-12, 22:41 (26)
        Размечтался то Тем более что хороший админ по определению ленив Если админ уси, Аноним, 04-Дек-12, 00:53 (55)
      - Отучайтесь говорить за всех , Anonym, 03-Дек-12, 23:18 (36)
        
        большинству наплевать на ваши советы , Adui, 04-Дек-12, 01:11 (56)
    - Переписывние кода под постгре стоит денег А мария - drop-in replacement , Crazy Alex, 04-Дек-12, 15:16 (77)
      - Все правильно говорите Если заказчик багач, можно и переписать, Adui, 04-Дек-12, 18:34 (78)
        
        ну да, за 171 багачом 187 обычно много переписывать приходится , arisu, 04-Дек-12, 19:23 (79)
  - Жизнь заставит - найдете , XoRe, 03-Дек-12, 22:59 (32)
  - Подключайте репозитории Percona тоже в офф репах нетуhttps downloads mariadb, Anonym, 03-Дек-12, 23:37 (40)
  - В стабильных - да См openSUSE, Moomintroll, 04-Дек-12, 08:50 (62)
  - На хостингах всё жизнь софт собирался руками, Crazy Alex, 04-Дек-12, 15:15 (75)
1 То ли разрабы просто ленятся, то ли им нравится вставлять палки в колёса си, Etch, 03-Дек-12, 20:34 (4) //
- Если зайти с другого боку - тот, кто дает права FILE пользователям даже системн, AlexAT, 03-Дек-12, 20:39 (5) //
  - Это, конечно же, всё так, но в жизни ситуации бывают разные и я не вижу объектив, Etch, 03-Дек-12, 20:44 (9) //
    - ды не волнуйтесь вы так исправят ваш FILE -- в каких нибудь там следующих ма, Xasd, 03-Дек-12, 21:41 (19)
  - Действительно, зачем нам скоростная выгрузка загрузка данных, есть же mysqldump , angra, 03-Дек-12, 22:52 (30) //
    - И куда вы столько раз вгружать-выгружать собрались, что нагрузка без FILE стал, AlexAT, 03-Дек-12, 22:55 (31)
      - Поставлена задача Две большие ну скажем, пару часов на снятие дампа БД с похо, angra, 03-Дек-12, 23:46 (42)
        
        Самый очевидный и правильный вариант для предложенной задачи mysqldump --host A, AlexAT, 04-Дек-12, 10:03 (67)
        
        СмешноИзбавит, ничего конвертировать не надо, вы бы хоть синтаксис SELECT I, angra, 04-Дек-12, 13:35 (71)
        
        Угу Таки структура разная, или нет Можно спросить - какой идиот разрабатывал с, AlexAT, 04-Дек-12, 15:14 (74)
В общем, логично FILE каждому раздавать не будешь А уж если раздал - не пу, myhand, 03-Дек-12, 20:43 (8) //
- А зачем БД по умолчанию их туда пускает , Etch, 03-Дек-12, 20:49 (10) //
  - А почему нет Для пользователя с правами администратора - это вполне имеет смыс, myhand, 03-Дек-12, 20:58 (13) //
    - Пусть делают отдельную опцию и в документации напишут чем это опасно Кому это д, Etch, 03-Дек-12, 21:06 (14)
      - ага а то админы 8212 они такие раздают права направо и налево , arisu, 03-Дек-12, 21:57 (20)
        
        Ну вот ты не путай админов с опытом и тех, кто только встает на данный путь То , Genix, 03-Дек-12, 22:19 (22)
        
        а зачем оно лезет боевые сервера админить пусть учится у старших сначала а есл, arisu, 03-Дек-12, 22:24 (23)
        
        Да тут не важно - направо или налево Просто любой нормальный человек, если ему , Etch, 03-Дек-12, 22:46 (27)
        
        То нормальный человек А нормальный сисадмин сначала прикинет, чем это ему грози, AlexAT, 03-Дек-12, 22:48 (28)
        
        Сферические кони в вакууме это круто, но заглянем в реальный мир Вот что есть в, angra, 03-Дек-12, 23:02 (33)
        
        Не мечите бисер перед непогрешимыми всезнайками Это у них по молодости, что быс, Аноним, 03-Дек-12, 23:33 (39)
        Этого уже достаточно, чтобы не включать данную привилегию , AlexAT, 04-Дек-12, 07:15 (61)
        
        Понятно, встретил слово security и испытал приступ медвежьей болезни А так слад, angra, 04-Дек-12, 13:37 (72)
        
        я надеюсь, ты админишь только локалхост если вдруг 8212 нечаянно 8212 ты , arisu, 03-Дек-12, 22:52 (29)
        
        Переход на личности Не волнуйтесь, не вляпаетесь, моя компания IT-услуг не оказ, Etch, 03-Дек-12, 23:47 (44)
        
        счастье-то какое , arisu, 04-Дек-12, 00:01 (46)
        
        вообще ты не прав Админ, особенно ДБАшник, обязан это делать Т е как минимум , all_glory_to_the_hypnotoad, 03-Дек-12, 23:22 (37)
        
        Вот признайтесь честно, кто знал про эту уязвимость или хотя бы про опцию secure, Etch, 03-Дек-12, 23:37 (41)
        
        причём тут, млять, знал обязан узнать , особенно когда речь идёт о какой-то , all_glory_to_the_hypnotoad, 03-Дек-12, 23:46 (43)
        
        Ага, вот и начинается - не знал, но обязан узнать Обязан, конечно, если тебе за , Etch, 04-Дек-12, 00:18 (47)
        
        то там столько дырок, что одной больше, одной меньше 8230 , arisu, 04-Дек-12, 00:35 (51)
        
        Дык, не удивительно При таком то отношении разработчиков , Etch, 04-Дек-12, 01:21 (58)
        каком 171 таком 187 тебе в описании что написали http www opennet ru ope, arisu, 04-Дек-12, 09:38 (64)
        
        К счастью, в приличных местах таких нормальных апологетов метода тыка - гонят , myhand, 04-Дек-12, 12:55 (69)
        В большинстве случаев file sql injection shell с правами web сервера Всяких , Elhana, 17-Дек-12, 18:17 (81)
        
        Кто сказал, что file будет даваться веб-приложению Наверное это юмор из того же, Etch, 18-Дек-12, 06:32 (82)
      - Написали чем опасно Около уже существующей опции FILE Я даже выше ткнул носо, myhand, 03-Дек-12, 22:34 (25)
        
        http dev mysql com doc refman 5 6 en grant htmlПальцем покажете где написано , Etch, 03-Дек-12, 23:25 (38)
        
        Потому что де Wчукча писатель, а не читатель На, читай Сначала http dev mysql, ZloySergant, 04-Дек-12, 00:23 (48)
        
        Минус за оскорбления Итак, подведём итоги Чем опасна привилегия FILE то, что, Etch, 04-Дек-12, 01:20 (57)
        
        Коллеги, срач можно заканчивать Вот я - типичный быдлоадмин, если рассматривать , Kot, 04-Дек-12, 04:50 (60)
        
        как видишь, достаточно не всем некоторые персонажи категорически отказываются в, arisu, 04-Дек-12, 09:42 (66)
        
        http www opennet ru openforum vsluhforumID3 87589 html 61ЛОЛЩИТО слушай, а ес, arisu, 04-Дек-12, 09:40 (65)
        
        Вам ответили 48 Нет, к сожалению, в документации необходимого вам комикса ил, myhand, 04-Дек-12, 13:04 (70)
emerge -C mysql emerge -1 mariadbдостали , Sauron, 03-Дек-12, 23:02 (34) //
- Что все так прозрачно Т е у MariaDB даже конфиг по дефолту такой же как у муск, epic_fail, 04-Дек-12, 11:08 (68) //
  - тюнинг у mariadb побольше, но они не утруждались файл конфигурации привести к пр, Adui, 04-Дек-12, 14:37 (73)
Мне одному показалось, что zero-day и exploit , в частности, не совсем про эт, Andrey Mitrofanov, 04-Дек-12, 20:21 (80)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру