forum.opennet.ru

"Обновление MariaDB с устранением zero-day уязвимости, затраг..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Обновление MariaDB с устранением zero-day уязвимости,..."	+3 +/–
Сообщение от angra (ok), 03-Дек-12, 23:02
Сферические кони в вакууме это круто, но заглянем в реальный мир. Вот что есть в доке мускула про FILE privilege, расскажи с обоснованием какие проблемы ты видишь из этого текста, а самое главное, как отсюда следует обсуждаемый эксплойт. The FILE privilege gives you permission to read and write files on the server host using the LOAD DATA INFILE and SELECT ... INTO OUTFILE statements and the LOAD_FILE() function. A user who has the FILE privilege can read any file on the server host that is either world-readable or readable by the MySQL server. (This implies the user can read any file in any database directory, because the server can access any of those files.) The FILE privilege also enables the user to create new files in any directory where the MySQL server has write access. As a security measure, the server will not overwrite existing files.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Обновление MariaDB с устранением zero-day уязвимости, затраг..., opennews, 03-Дек-12, 20:07 [смотреть все]

Oracle долго еще будет тянуть кота за яица W хвост, GentooBoy, 03-Дек-12, 20:07 (1) //
- Монти vs Oracle 1 0 , Аноним, 03-Дек-12, 20:50 (11)
- Не долго осталось Как мне помнится , когда Oracle скупила весь хабар у Sunто он, Andreys, 04-Дек-12, 08:55 (63)
Глядишь, люди и поймут, что с мускуля пора бежать и куда бежать - тоже ясно, Crazy Alex, 03-Дек-12, 20:20 (2) //
- Кому надо уже давно понял и свалил подальше от оракла Остальные просто пользуют, Z, 03-Дек-12, 20:34 (3) //
  - Ну вот хостерам и будет понятно, Crazy Alex, 04-Дек-12, 15:15 (76)
- И куда бежать Во многих стабильных и бинарных дистрибутивах есть эта мариядб , Etch, 03-Дек-12, 20:39 (6) //
  - Очевидно что на PostgreSQL , Anonym, 03-Дек-12, 20:42 (7) //
    - Нормально так сбежать с повседневной легковушки на брутальный карьерный сам, Аноним, 03-Дек-12, 20:52 (12)
      - Аноним, ты идиот PG это качественная легковушка пусть будет иномарка , а mysq, all_glory_to_the_hypnotoad, 03-Дек-12, 21:10 (17)
        
        Такое сравнение ещё хуже, т к если у ведра отваливаются гайки, то его надо меня, Etch, 03-Дек-12, 21:26 (18)
        
        вот в этом вся ваша сущность, адепты мускуля А если у ведра гайки не отваливают, all_glory_to_the_hypnotoad, 03-Дек-12, 22:30 (24)
        
        Ну при чём тут адепты мускула Есть определённая программа со своими системными , Etch, 04-Дек-12, 00:35 (50)
        
        отлично Но какое это отношение имеет к легковушка vs брутальный самосвал ещё , all_glory_to_the_hypnotoad, 04-Дек-12, 00:50 (53)
        
        Простите, я думал это у вас просто аналогии такие дурацкие, и решил вернуть тему, Etch, 04-Дек-12, 01:35 (59)
        
        Не, не так С точки зрения водителя карьерного самосвала или хотя-бы фуры, инома, Аноним, 04-Дек-12, 00:52 (54)
      - Честно, я не понимаю этих глупых сравнений, по количеству потребляемых ресурсов , Anonym, 03-Дек-12, 23:16 (35)
        
        , всё так и есть , all_glory_to_the_hypnotoad, 03-Дек-12, 23:56 (45)
    - всем наплевать на слона, слишком трудоемкий перезд для ленивых сиадминов, Adui, 03-Дек-12, 21:10 (16)
      - Ленивый сисадимн вымирает как класс, Genix, 03-Дек-12, 22:18 (21)
        
        Только ленивый сисадмин может быть хорошим Работодатели это к сожалению плохо , angra, 03-Дек-12, 22:41 (26)
        Размечтался то Тем более что хороший админ по определению ленив Если админ уси, Аноним, 04-Дек-12, 00:53 (55)
      - Отучайтесь говорить за всех , Anonym, 03-Дек-12, 23:18 (36)
        
        большинству наплевать на ваши советы , Adui, 04-Дек-12, 01:11 (56)
    - Переписывние кода под постгре стоит денег А мария - drop-in replacement , Crazy Alex, 04-Дек-12, 15:16 (77)
      - Все правильно говорите Если заказчик багач, можно и переписать, Adui, 04-Дек-12, 18:34 (78)
        
        ну да, за 171 багачом 187 обычно много переписывать приходится , arisu, 04-Дек-12, 19:23 (79)
  - Жизнь заставит - найдете , XoRe, 03-Дек-12, 22:59 (32)
  - Подключайте репозитории Percona тоже в офф репах нетуhttps downloads mariadb, Anonym, 03-Дек-12, 23:37 (40)
  - В стабильных - да См openSUSE, Moomintroll, 04-Дек-12, 08:50 (62)
  - На хостингах всё жизнь софт собирался руками, Crazy Alex, 04-Дек-12, 15:15 (75)
1 То ли разрабы просто ленятся, то ли им нравится вставлять палки в колёса си, Etch, 03-Дек-12, 20:34 (4) //
- Если зайти с другого боку - тот, кто дает права FILE пользователям даже системн, AlexAT, 03-Дек-12, 20:39 (5) //
  - Это, конечно же, всё так, но в жизни ситуации бывают разные и я не вижу объектив, Etch, 03-Дек-12, 20:44 (9) //
    - ды не волнуйтесь вы так исправят ваш FILE -- в каких нибудь там следующих ма, Xasd, 03-Дек-12, 21:41 (19)
  - Действительно, зачем нам скоростная выгрузка загрузка данных, есть же mysqldump , angra, 03-Дек-12, 22:52 (30) //
    - И куда вы столько раз вгружать-выгружать собрались, что нагрузка без FILE стал, AlexAT, 03-Дек-12, 22:55 (31)
      - Поставлена задача Две большие ну скажем, пару часов на снятие дампа БД с похо, angra, 03-Дек-12, 23:46 (42)
        
        Самый очевидный и правильный вариант для предложенной задачи mysqldump --host A, AlexAT, 04-Дек-12, 10:03 (67)
        
        СмешноИзбавит, ничего конвертировать не надо, вы бы хоть синтаксис SELECT I, angra, 04-Дек-12, 13:35 (71)
        
        Угу Таки структура разная, или нет Можно спросить - какой идиот разрабатывал с, AlexAT, 04-Дек-12, 15:14 (74)
В общем, логично FILE каждому раздавать не будешь А уж если раздал - не пу, myhand, 03-Дек-12, 20:43 (8) //
- А зачем БД по умолчанию их туда пускает , Etch, 03-Дек-12, 20:49 (10) //
  - А почему нет Для пользователя с правами администратора - это вполне имеет смыс, myhand, 03-Дек-12, 20:58 (13) //
    - Пусть делают отдельную опцию и в документации напишут чем это опасно Кому это д, Etch, 03-Дек-12, 21:06 (14)
      - ага а то админы 8212 они такие раздают права направо и налево , arisu, 03-Дек-12, 21:57 (20)
        
        Ну вот ты не путай админов с опытом и тех, кто только встает на данный путь То , Genix, 03-Дек-12, 22:19 (22)
        
        а зачем оно лезет боевые сервера админить пусть учится у старших сначала а есл, arisu, 03-Дек-12, 22:24 (23)
        
        Да тут не важно - направо или налево Просто любой нормальный человек, если ему , Etch, 03-Дек-12, 22:46 (27)
        
        То нормальный человек А нормальный сисадмин сначала прикинет, чем это ему грози, AlexAT, 03-Дек-12, 22:48 (28)
        
        Сферические кони в вакууме это круто, но заглянем в реальный мир Вот что есть в , angra, 03-Дек-12, 23:02 (33)
        
        Не мечите бисер перед непогрешимыми всезнайками Это у них по молодости, что быс, Аноним, 03-Дек-12, 23:33 (39)
        Этого уже достаточно, чтобы не включать данную привилегию , AlexAT, 04-Дек-12, 07:15 (61)
        
        Понятно, встретил слово security и испытал приступ медвежьей болезни А так слад, angra, 04-Дек-12, 13:37 (72)
        
        я надеюсь, ты админишь только локалхост если вдруг 8212 нечаянно 8212 ты , arisu, 03-Дек-12, 22:52 (29)
        
        Переход на личности Не волнуйтесь, не вляпаетесь, моя компания IT-услуг не оказ, Etch, 03-Дек-12, 23:47 (44)
        
        счастье-то какое , arisu, 04-Дек-12, 00:01 (46)
        
        вообще ты не прав Админ, особенно ДБАшник, обязан это делать Т е как минимум , all_glory_to_the_hypnotoad, 03-Дек-12, 23:22 (37)
        
        Вот признайтесь честно, кто знал про эту уязвимость или хотя бы про опцию secure, Etch, 03-Дек-12, 23:37 (41)
        
        причём тут, млять, знал обязан узнать , особенно когда речь идёт о какой-то , all_glory_to_the_hypnotoad, 03-Дек-12, 23:46 (43)
        
        Ага, вот и начинается - не знал, но обязан узнать Обязан, конечно, если тебе за, Etch, 04-Дек-12, 00:18 (47)
        
        то там столько дырок, что одной больше, одной меньше 8230 , arisu, 04-Дек-12, 00:35 (51)
        
        Дык, не удивительно При таком то отношении разработчиков , Etch, 04-Дек-12, 01:21 (58)
        каком 171 таком 187 тебе в описании что написали http www opennet ru ope, arisu, 04-Дек-12, 09:38 (64)
        
        К счастью, в приличных местах таких нормальных апологетов метода тыка - гонят , myhand, 04-Дек-12, 12:55 (69)
        В большинстве случаев file sql injection shell с правами web сервера Всяких , Elhana, 17-Дек-12, 18:17 (81)
        
        Кто сказал, что file будет даваться веб-приложению Наверное это юмор из того же, Etch, 18-Дек-12, 06:32 (82)
      - Написали чем опасно Около уже существующей опции FILE Я даже выше ткнул носо, myhand, 03-Дек-12, 22:34 (25)
        
        http dev mysql com doc refman 5 6 en grant htmlПальцем покажете где написано , Etch, 03-Дек-12, 23:25 (38)
        
        Потому что де Wчукча писатель, а не читатель На, читай Сначала http dev mysql, ZloySergant, 04-Дек-12, 00:23 (48)
        
        Минус за оскорбления Итак, подведём итоги Чем опасна привилегия FILE то, что, Etch, 04-Дек-12, 01:20 (57)
        
        Коллеги, срач можно заканчивать Вот я - типичный быдлоадмин, если рассматривать , Kot, 04-Дек-12, 04:50 (60)
        
        как видишь, достаточно не всем некоторые персонажи категорически отказываются в, arisu, 04-Дек-12, 09:42 (66)
        
        http www opennet ru openforum vsluhforumID3 87589 html 61ЛОЛЩИТО слушай, а ес, arisu, 04-Дек-12, 09:40 (65)
        
        Вам ответили 48 Нет, к сожалению, в документации необходимого вам комикса ил, myhand, 04-Дек-12, 13:04 (70)
emerge -C mysql emerge -1 mariadbдостали , Sauron, 03-Дек-12, 23:02 (34) //
- Что все так прозрачно Т е у MariaDB даже конфиг по дефолту такой же как у муск, epic_fail, 04-Дек-12, 11:08 (68) //
  - тюнинг у mariadb побольше, но они не утруждались файл конфигурации привести к пр, Adui, 04-Дек-12, 14:37 (73)
Мне одному показалось, что zero-day и exploit , в частности, не совсем про эт, Andrey Mitrofanov, 04-Дек-12, 20:21 (80)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру