forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в mysqldump, позволяющая выполнить код при восста..."
Отправлено gogo, 12-Мрт-17 21:08

Вообще, это большой пласт проблем, на которые в mysql никогда даже не хотели разговаривать.
Безопасно восстановить чужой дамп от имени рута - это общая, тривиальная задача, которая НЕ реализована в mysql/mariadb.
Начиная с того, что в дампе могут встретится команды use databasename. И заканчивая опубликованным. Какой смысл, что я даю команду "mysql имя_базы < дамп", если я не могу быть уверенным, что данные попадут именно в эту базу?
Если я должен использовать какие-то сторонние средства, типа использовать логин/пароль юзера, то почему это нельзя реализовать средствами самой утилиты mysql? Или, например, такой функционал должен быть вынесен в mysqladmin, который в принципе подразумевает, что он будет использоваться только админом.
По аналогии с "tar -x", подобные команды должны быть в mysql/mariadb безопасными, с точки зрения рута.

Исходное сообщение
"Уязвимость в mysqldump, позволяющая выполнить код при восста..." Отправлено gogo, 12-Мрт-17 21:08
Вообще, это большой пласт проблем, на которые в mysql никогда даже не хотели разговаривать. Безопасно восстановить чужой дамп от имени рута - это общая, тривиальная задача, которая НЕ реализована в mysql/mariadb. Начиная с того, что в дампе могут встретится команды use databasename. И заканчивая опубликованным. Какой смысл, что я даю команду "mysql имя_базы < дамп", если я не могу быть уверенным, что данные попадут именно в эту базу? Если я должен использовать какие-то сторонние средства, типа использовать логин/пароль юзера, то почему это нельзя реализовать средствами самой утилиты mysql? Или, например, такой функционал должен быть вынесен в mysqladmin, который в принципе подразумевает, что он будет использоваться только админом. По аналогии с "tar -x", подобные команды должны быть в mysql/mariadb безопасными, с точки зрения рута.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру