OpenForum RSS: Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... https://www.opennet.ru/openforum/vsluhforumID3/82913.html В конце января компания Oracle опубликовала (http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html#AppendixMSQL) сводный отчёт об узявимостях, устранённых в различных продуктах компании. В отчёте сообщалось, что в MySQL исправлено 27 уязвимостей. Информация в отчёте была предоставлена только в общем виде, не дающем судить о характере проблем. С момента публикации отчёта прошло уже несколько недель, но подробности так и не опубликованы.<br><br><br><br>В связи с подобным сокрытием информации производители Linux-дистрибутивов оказались в тупике (http://www.openwall.com/lists/oss-security/2012/02/09/14), так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL. Информация об уязвимостях ограничивается номером CVE, уровнем опасности, информацией по веткам MySQL и не несущим особого смысла однострочным описанием. Интересно, что подобный отчёт (Critical Patch Update) для MySQL выпускается первый раз, поэтому непонятно за какой период там собраны уязвим...<br><br>URL: http://www.ope Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#158 Wed, 29 Feb 2012 18:22:08 GMT Если компании известно, что некоторые (важные) существующие клиенты не обновились, публикацию деталей задерживают, чтобы не сообщать потенциальным злоумышленникам. Это один из способов заботиться о клиентах. И это не связано с конкретным продуктом.<br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (Кирилл) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#157 Fri, 17 Feb 2012 08:10:22 GMT В общем, да. Продажникам на качество продукта пофигу, для них существует только нынешнее время и маркетинговые показатели.<br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (Я) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#156 Wed, 15 Feb 2012 11:15:32 GMT &gt; сдается вы не понимаете роль разработчиков при выпуске maintance релизов.<br>&gt; В нормальной компании маинтейнеры отвественны только за упаковку.<br><br>В таком дистрибутиве у вас работать вообще ничего не будет.<br><br>&gt; А то получится как в том дебиане - когда маинтейнер SSH посчитав <br>&gt; себя умнее разработчиков сделал дырку.<br>&gt; Помните этот случай? Так вот..<br><br>Бывает и так.<br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (Кирилл) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#155 Mon, 13 Feb 2012 17:50:37 GMT Мастер-мастер это уже не репликация, а гетерогенная БД. Полусинхронные обновления это чито? Типа отложенное согласование?<br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (Кирилл) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#154 Mon, 13 Feb 2012 17:47:37 GMT Почитайте на досуге об архитектурных особенностях различных реляционных (и не очень) СУБД. Многие вопросы отпадут.<br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (playnet) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#153 Mon, 13 Feb 2012 16:14:30 GMT &gt; А с год уже не парюсь. Веб проекты строю на PostgrSQL.<br>&gt; ОЧЕНЬ дружное сообщество, высокая скорость работы, встроенная мастер-слэйв репликация....<br><br>А мастер-мастер? А мульти-мастер? Для шаред хостинга это не нужно. А для проекта, который занимает хотя бы 4 сервера? Можно конечно через костыли - mysqlproxy/pgproxy и 1 мастер, остальные слейвы.<br>Доопустим мастер-мастер сделали. Синхронный. А если сервера стоят в разных ДЦ? Особенно когда проблемы с каналом, любой апдейт занимает от секунды до десятков секунд. Благо есть semi-syncrous синхронизация, когда действие считается успешным, когда изменение всосал _1_ слейв.<br>Ура, 9 постгрес научился мастер-мастер почти штатно. А мультимастер? А полусинхронные обновления?<br><br>Я не против постгреса и у него есть сферы. Но не надо делать вид, что у него нет недостатков. И да, он сложен в настройке и сопровождении. Сложнее мускуля.<br><br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#152 Mon, 13 Feb 2012 16:10:02 GMT &gt; Уверен, потому что кроме мускульного порта наружу ничего не торчало.<br><br>У винды недавно был крутой баг с 0day когда udp пакеты на _закрытые_ порты (ессно не фаером снаружи, а самой ОС закрытые) вели к выполнению кода... <br><br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в M... (Diden05) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#151 Mon, 13 Feb 2012 16:07:01 GMT Ога, то то парни из MariaDB в ступор встали, ой не знаем что бэкпортить.<br> Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82913.html#150 Mon, 13 Feb 2012 16:06:29 GMT &gt; Они делают правильно - выпуская maintance обновления.<br><br>Правильно они делают только с точки зрения корпоративных старперов оставшихся в своих ранних девяностых и не осознающих что с тех пор прошло 20 лет...<br>