The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление MariaDB с устранением zero-day уязвимости, затраг..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от opennews (ok) on 03-Дек-12, 20:07 
Разработчики MariaDB оперативно отреагировали на опубликованные (http://www.opennet.dev/opennews/art.shtml?num=35486) в выходные эксплоиты, использующие zero-day уязвимости в кодовой базе MySQL. В экстренном порядке выпущены (http://openquery.com/blog/mariadb-security-updates) обновления MariaDB 5.5.28a, 5.3.11, 5.2.13 и 5.1.66, в которых устранена проблема CVE-2012-5579, позволяющая аутентифицированному пользователю запустить код с правами процесса mysqld.


Из остальных проблем:


-  CVE-2012-5611 дублирует уже исправленную  уязвимость  CVE-2012-5579;
-  CVE-2012-5612 и CVE-2012-5614 - позволяют вызвать крах процесса. Проблемы будут (https://mariadb.atlassian.net/browse/MDEV-3908) исправлены (https://mariadb.atlassian.net/browse/MDEV-3910) в ближайшее время;
-  CVE-2012-5613 - не признана уязвимостью, так как для эксплуатации требуется наличие привилегий FILE, которые могут появиться у обычного пользователя только из-за ошибки администратора. Разработчик эксплоита не согласился (http://seclists.org/oss-sec/2012/q4/389) с такой точкой зрения, указав, что получения прав "ADMIN" имея только права "FILE" не является штатным поведением;
-  CVE-2012-5615 - метод обнаружения наличия пользователя, разработчики MariaDB ищут (https://mariadb.atlassian.net/browse/MDEV-3909) способ блокировать проблему;


Дополнительно отмечается, что компания Oracle пока никак не отреагировала на наличие данных проблем в MySQL. О времени выхода обновления для MySQL пока ничего не известно.

URL: http://openquery.com/blog/mariadb-security-updates
Новость: http://www.opennet.dev/opennews/art.shtml?num=35490

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +4 +/
Сообщение от GentooBoy (ok) on 03-Дек-12, 20:07 
Oracle долго еще будет тянуть кота за яица^W хвост
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от Аноним (??) on 03-Дек-12, 20:50 
Монти vs Oracle: 1:0 :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

63. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от Andreys on 04-Дек-12, 08:55 
Не долго осталось. Как мне помнится , когда Oracle скупила весь хабар у Sun
то она пообещала сопровождать MySQL до 2014 г. (где то на opennet.ru  была тогда про это новость ) Ну и нафига тратить силы на то, что ей и не надо ???
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от Crazy Alex (ok) on 03-Дек-12, 20:20 
Глядишь, люди и поймут, что с мускуля пора бежать... и куда бежать - тоже ясно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от Z (??) on 03-Дек-12, 20:34 
Кому надо уже давно понял и свалил подальше от оракла. Остальные просто пользуются тем, что дает хостер.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

76. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Crazy Alex (ok) on 04-Дек-12, 15:15 
Ну вот хостерам и будет понятно
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  –2 +/
Сообщение от Etch on 03-Дек-12, 20:39 
> Глядишь, люди и поймут, что с мускуля пора бежать... и куда бежать - тоже ясно

И куда бежать? Во многих стабильных (и бинарных) дистрибутивах есть эта мариядб в репозиториях? В Ubuntu LTS я не нашёл...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +10 +/
Сообщение от Anonym on 03-Дек-12, 20:42 
>> Глядишь, люди и поймут, что с мускуля пора бежать... и куда бежать - тоже ясно
> И куда бежать? Во многих стабильных (и бинарных) дистрибутивах есть эта мариядб
> в репозиториях? В Ubuntu LTS я не нашёл...

Очевидно что на PostgreSQL.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +4 +/
Сообщение от Аноним (??) on 03-Дек-12, 20:52 
> Очевидно что на PostgreSQL.

Нормально так: сбежать с повседневной легковушки на ... брутальный карьерный самосвал?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +4 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 03-Дек-12, 21:10 
> сбежать с повседневной легковушки на ... брутальный карьерный самосвал?

Аноним, ты идиот.  PG это качественная легковушка (пусть будет иномарка), а mysql вообще не машина (ну или тазло в крайнем случае, т.е. ведро с гайками).

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от Etch on 03-Дек-12, 21:26 
> PG это качественная легковушка (пусть будет иномарка), а
> mysql вообще не машина (ну или тазло в крайнем случае, т.е.
> ведро с гайками).

Такое сравнение ещё хуже, т.к. если у ведра отваливаются гайки, то его надо менять на более качественное ведро, а не таскать воду с колодца в качественной иномарке.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 03-Дек-12, 22:30 
> т.к. если у ведра отваливаются гайки, то его надо менять на более качественное ведро

вот в этом вся ваша сущность, адепты мускуля. А если у ведра гайки не отваливаются, то что, в нём тоже можно носить воду?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

50. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от Etch on 04-Дек-12, 00:35 
> вот в этом вся ваша сущность, адепты мускуля. А если у ведра
> гайки не отваливаются, то что, в нём тоже можно носить воду?

Ну при чём тут адепты мускула? Есть определённая программа со своими системными требованиями, в которых чёрным по белому написано - нужен мускуль. На постгресе она не поедет.

В таких случаях только адепты постгреса могут советовать переходить на него. И они же советуют ездить за водой на 10 метров без ведра, зато на машине.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

53. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 04-Дек-12, 00:50 
> Есть определённая программа со своими системными требованиями, в которых чёрным по белому написано - нужен мускуль.

отлично. Но какое это отношение имеет к 'легковушка vs брутальный самосвал'?

ещё раз попрошу, заканчивай нести ерунду.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

59. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +5 +/
Сообщение от Etch on 04-Дек-12, 01:35 
Простите, я думал это у вас просто аналогии такие дурацкие, и решил вернуть тему обратно в русло IT. А вы, оказывается, и вправду про машины с вёдрами говорили. Ок, больше не вмешиваюсь в ваши высокоинтеллектуальные размышления.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

54. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Аноним (??) on 04-Дек-12, 00:52 
> Аноним, ты идиот.  PG это качественная легковушка (пусть будет иномарка), а
> mysql вообще не машина (ну или тазло в крайнем случае,

Не, не так. С точки зрения водителя карьерного самосвала или хотя-бы фуры, иномарка - вообще не машина! Как так: нельзя нагрузить тонну кирпичей или перевезти пару холодильников?! И куб грунта некуда девать. Не машина а жалкая пародия!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

35. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +8 +/
Сообщение от Anonym on 03-Дек-12, 23:16 
>> Очевидно что на PostgreSQL.
> Нормально так: сбежать с повседневной легковушки на ... брутальный карьерный самосвал?

Честно, я не понимаю этих глупых сравнений, по количеству потребляемых ресурсов как MySQL, так и PGSQL примерно равны, просто у постгреса больше функций, которые ты как можешь задействовать, так можешь и забить на них на начальном этапе. Если бы еще сравнивать например MySQL и Oracle или там MS SQL, да, аналогия имеет право на жизнь,  а так для маленьких проектов в принципе силы примерно равны, но зато у PostgreSQL есть огромный задел для дальнейшего роста, в отличии от MySQL, оптимизация производительности которой заканчивается мыслью "А не перейти ли нам на Percona?".

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

45. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 03-Дек-12, 23:56 
> Если бы еще сравнивать например MySQL и Oracle или там MS SQL, да, аналогия имеет право на жизнь,  а так для маленьких проектов в принципе силы примерно равны, но зато у PostgreSQL есть огромный задел для дальнейшего роста, в отличии от MySQL, оптимизация производительности которой заканчивается мыслью "А не перейти ли нам на Percona?".

+, всё так и есть.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

16. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от Adui on 03-Дек-12, 21:10 
всем наплевать на слона, слишком трудоемкий перезд для ленивых сиадминов
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  –2 +/
Сообщение от Genix email on 03-Дек-12, 22:18 
> всем наплевать на слона, слишком трудоемкий перезд для ленивых сиадминов

Ленивый сисадимн вымирает как класс

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +6 +/
Сообщение от angra (ok) on 03-Дек-12, 22:41 
Только ленивый сисадмин может быть хорошим :)
Работодатели это к сожалению плохо понимают и предпочитают трудолюбивых обезьянок.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

55. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от Аноним (??) on 04-Дек-12, 00:53 
> Ленивый сисадимн вымирает как класс

Размечтался то. Тем более что хороший админ по определению ленив. Если админ усиленно рвет попу - это индикатор.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

36. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Anonym on 03-Дек-12, 23:18 
> всем наплевать на слона, слишком трудоемкий перезд для ленивых сиадминов

Отучайтесь говорить за всех.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

56. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Adui on 04-Дек-12, 01:11 
большинству наплевать на ваши советы)
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

77. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от Crazy Alex (ok) on 04-Дек-12, 15:16 
Переписывние кода под постгре стоит денег. А мария - drop-in replacement.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

78. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Adui on 04-Дек-12, 18:34 
Все правильно говорите!!! :)

Если заказчик багач, можно и переписать

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

79. "Обновление MariaDB с устранением zero-day уязвимости,..."  +1 +/
Сообщение от arisu (ok) on 04-Дек-12, 19:23 
> багач

ну да, за «багачом» обычно много переписывать приходится.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

32. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от XoRe (ok) on 03-Дек-12, 22:59 
> В Ubuntu LTS я не нашёл...

Жизнь заставит - найдете )

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

40. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от Anonym on 03-Дек-12, 23:37 
Подключайте репозитории. Percona тоже в офф. репах нету
https://downloads.mariadb.org/mariadb/repositories/
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

62. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Moomintroll (ok) on 04-Дек-12, 08:50 
> Во многих стабильных (и бинарных) дистрибутивах есть эта мариядб в репозиториях?

В стабильных - да. См. openSUSE

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

75. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Crazy Alex (ok) on 04-Дек-12, 15:15 
На хостингах всё жизнь софт собирался руками
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

4. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от Etch on 03-Дек-12, 20:34 
> Разработчик эксплоита не согласился с такой точкой зрения, указав, что получения прав "ADMIN" имея только права "FILE" не является штатным поведением;

+1. То ли разрабы просто ленятся, то ли им нравится вставлять палки в колёса  сисадминов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от AlexAT (ok) on 03-Дек-12, 20:39 
Если зайти с другого боку - тот, кто дает права FILE пользователям (даже системным) на постоянку на боевом сервере - ССЗБ. В штатном режиме оное не нужно вообще.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Etch on 03-Дек-12, 20:44 
> Если зайти с другого боку - тот, кто дает права FILE пользователям
> (даже системным) на постоянку на боевом сервере - ССЗБ. В штатном
> режиме оное не нужно вообще.

Это, конечно же, всё так, но в жизни ситуации бывают разные и я не вижу объективных причин нарочно подкладывать дополнительную свинью админам. Даже если они всё-равно ССЗБ.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от Xasd (ok) on 03-Дек-12, 21:41 
ды не волнуйтесь вы так...

..исправят ваш FILE -- в каких нибудь там следующих мажорных версиях.

просто намякнули что нет смысла торопиться с *экстренным* исправлением, вот и всё.

откуда столько истерики?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

30. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от angra (ok) on 03-Дек-12, 22:52 
Действительно, зачем нам скоростная выгрузка/загрузка данных, есть же mysqldump и мощные процессоры.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от AlexAT (ok) on 03-Дек-12, 22:55 
> Действительно, зачем нам скоростная выгрузка/загрузка данных, есть же mysqldump и мощные
> процессоры.

И куда вы столько раз вгружать-выгружать собрались, что нагрузка "без FILE" стала критичной? Может быть, лучше что-то сразу в канцелярии подправить?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

42. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от angra (ok) on 03-Дек-12, 23:46 
Поставлена задача: "Две большие(ну скажем, пару часов на снятие дампа) БД с похожей, но отличающейся структурой, данные нужно регулярно синхронизировать в одном направлении. Нагрузку и трафик между серверами минимизировать"
Жду предложений по исправлению в канцелярии от титеретика.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

67. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от AlexAT (ok) on 04-Дек-12, 10:03 
Самый очевидный и правильный вариант для предложенной задачи:
mysqldump --host A | convert_dump | mysql --host B
К слову, использование FILE никак не вылечит от нагрузки/трафика. И от шага convert_dump не избавит, поскольку в задаче поставлена разная структура БД.

А вообще подобный идиотизм лечится грамотной statement-based репликацией в нужном направлении. Заметьте - репликацией возможно даже не на уровне MySQL. При этом нагрузка реально минимизируется. Если не хватает головы/рук чтобы такое сделать, и не мучать сервер дампами - ССЗБ.

У нас так (самописной репликацией) архивируется реалтаймовая база аккаунтинга, потому что если делать хоть дамп, хоть FILE - таскать 80-100 гиг каждые пару часов весьма невесело. Это я все к тому, что задача поставлена идиотская, и решать её "в лоб" (дампом) может только студент-"практик", который дальше шаблонов не идёт.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

71. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  –1 +/
Сообщение от angra (ok) on 04-Дек-12, 13:35 
>mysqldump --host A | convert_dump | mysql --host B

Смешно

>И от шага convert_dump не избавит, поскольку в задаче поставлена разная структура БД

Избавит, ничего конвертировать не надо, вы бы хоть синтаксис "SELECT ... INTO OUTFILE"/"LOAD DATA INFILE" почитали

>А вообще подобный идиотизм лечится грамотной statement-based репликацией в нужном направлении.

Разная структура делает использование встроенного механизма репликации невозможным без наложения ряда ограничений. И это только на синхронизацию, использование вообще станет невозможным.

>таскать 80-100 гиг каждые пару часов весьма невесело

Мда, слово rsync никогда не слышали?

>репликацией возможно даже не на уровне MySQL
>У нас так (самописной репликацией)

Ну если есть куча свободного времени, то можно вообще мускул поправить или свою БД написать. А можно за полчаса получить результат используя уже имеющийся механизм.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

74. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от AlexAT (ok) on 04-Дек-12, 15:14 
>>И от шага convert_dump не избавит, поскольку в задаче поставлена разная структура БД
> Избавит, ничего конвертировать не надо, вы бы хоть синтаксис "SELECT ... INTO
> OUTFILE"/"LOAD DATA INFILE" почитали

Угу. Таки структура разная, или нет? Можно спросить - какой идиот разрабатывал схему БД?

> Разная структура делает использование встроенного механизма репликации

Читайте внимательнее - я сразу оговорился - репликация может быть самостоятельной, не встроенной.

>>таскать 80-100 гиг каждые пару часов весьма невесело
> Мда, слово rsync никогда не слышали?

Т.е. предлагаете останавливать сервер на каждую подобную операцию?

> Ну если есть куча свободного времени, то можно вообще мускул поправить или
> свою БД написать. А можно за полчаса получить результат используя уже
> имеющийся механизм.

Смотря что за результат требуется. Если таскать болванки по 80-100 гиг каждые два часа, "минимизируя" нагрузку - ну... да. А если надо это все делать в реальном времени, тупо таская изменения по несколько десятков КБ, и действительно имея реалтаймовую синхронизацию - подходы совершенно другие.

Про "кучу свободного времени" и подходы есть вообще хороший, жизненный анекдот:
Идет мужик по деревне, видит, другой мужик ножиком дерево пилит. Ну, прошел. Через три часа идет назад - а тот мужик всё пилит, уже до половины допилил. Ну, идущий не выдержал - "мужик, чего мучаешься, пошли, я тебе пилу дам". А тот и отвечает: "некогда мне за твоей пилой ходить - когда я дерево-то пилить буду?".

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

8. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  –1 +/
Сообщение от myhand (ok) on 03-Дек-12, 20:43 
> CVE-2012-5613 - не признана уязвимостью

В общем, логично.  FILE каждому раздавать не будешь...  А уж если раздал - не пускай в каталог данных mysql.

Все правильно объяснили:
http://seclists.org/oss-sec/2012/q4/394
- это от кривой конфигурации все.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Etch on 03-Дек-12, 20:49 
> В общем, логично.  FILE каждому раздавать не будешь...  А уж
> если раздал - не пускай в каталог данных mysql.

А зачем БД по умолчанию их туда пускает?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от myhand (ok) on 03-Дек-12, 20:58 
А почему нет?  Для пользователя с правами администратора - это вполне имеет смысл.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Etch on 03-Дек-12, 21:06 
> А почему нет?  Для пользователя с правами администратора - это вполне
> имеет смысл.

Пусть делают отдельную опцию и в документации напишут чем это опасно. Кому это действительно понадобится (а таких - меньшинство), те включат и будут точно знать зачем это надо и чем чревато.
А если это имеет смысл только для пользователей с правами "ADMIN", то зачем оно работает и для тех, у кого есть только "FILE", да ещё по умолчанию? В общем, с точки зрения сисадмина - полнейший бред.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 03-Дек-12, 21:57 
> Пусть делают отдельную опцию и в документации напишут чем это опасно.

ага. а то админы — они такие: раздают права направо и налево.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Обновление MariaDB с устранением zero-day уязвимости,..."  +1 +/
Сообщение от Genix email on 03-Дек-12, 22:19 
>> Пусть делают отдельную опцию и в документации напишут чем это опасно.
> ага. а то админы — они такие: раздают права направо и налево.

Ну вот ты не путай админов с опытом и тех, кто только встает на данный путь. То что одному хорошо -- другому смерть )

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 03-Дек-12, 22:24 
а зачем оно лезет боевые сервера админить? пусть учится у старших сначала. а если полезло — то само виновато.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от Etch on 03-Дек-12, 22:46 
> ага. а то админы — они такие: раздают права направо и налево.

Да тут не важно - направо или налево. Просто любой нормальный человек, если ему понадобится что-то включить, то он это сделает и просто проверит - работает или нет. Если мне понадобится включить "FILE", то я его просто включу. И только если оно не заработает так как мне надо, тогда только полезу в документацию смотреть причины такого поведения.

А так, чтоб читать всю документацию от корки до корки и постоянно держать всё это в голове - я таких людей не встречал (так, чтоб ночью разбуди и он тебе расскажет, что если изменить такую-то опцию, то сломается вон там - совсем в другом месте - и чинить это надо вот так). И не надо отмазки лепить "а зачем оно лезет"; понадобилось, вот и полезло. Просто пишите так, чтоб было безопасно by design, и чтобы случайно отстрелить себе что-то было невозможно. Ведь сами же рано или поздно наткнётесь на эту или подобную подставу, ибо закон Мэрфи никто не отменял.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от AlexAT (ok) on 03-Дек-12, 22:48 
> Да тут не важно - направо или налево. Просто любой нормальный человек,

То нормальный человек. А нормальный сисадмин сначала прикинет, чем это ему грозит, и как на системе отразится.

>>> А так, чтоб читать всю документацию от корки до корки и постоянно держать всё это в голове - я таких людей не встречал

Блджад, печалька. А я каждый день в зеркале вижу. На самом деле - всегда сначала полностью прочесываю необходимые участки мануала (с нудным хождением по рефам, ага), и лишь потом (когда вся теория ясна и прозрачна, и в голове сложилась) берусь что-то собирать. Привычка.

Да. Медленнее... не намного, но медленнее "молодых и горячих". Факт. Зато потом не приходится жать плечами и биться головой об стену, что что-то работает не так, потому что "а вон ту фенечку надо было сразу вкрутить".

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Обновление MariaDB с устранением zero-day уязвимости,..."  +3 +/
Сообщение от angra (ok) on 03-Дек-12, 23:02 
Сферические кони в вакууме это круто, но заглянем в реальный мир. Вот что есть в доке мускула про FILE privilege, расскажи с обоснованием какие проблемы ты видишь из этого текста, а самое главное, как отсюда следует обсуждаемый эксплойт.

The FILE privilege gives you permission to read and write files on the server host using the LOAD DATA INFILE and SELECT ... INTO OUTFILE statements and the LOAD_FILE() function. A user who has the FILE privilege can read any file on the server host that is either world-readable or readable by the MySQL server. (This implies the user can read any file in any database directory, because the server can access any of those files.) The FILE privilege also enables the user to create new files in any directory where the MySQL server has write access. As a security measure, the server will not overwrite existing files.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Обновление MariaDB с устранением zero-day уязвимости,..."  +2 +/
Сообщение от Аноним (??) on 03-Дек-12, 23:33 
Не мечите бисер перед непогрешимыми всезнайками. Это у них по молодости, что быстро проходит.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

61. "Обновление MariaDB с устранением zero-day уязвимости,..."  –2 +/
Сообщение от AlexAT (ok) on 04-Дек-12, 07:15 
> implies the user can read any file in any database directory

...
> privilege also enables the user to create new files in any
> directory where the MySQL server has write access. As a security

Этого уже достаточно, чтобы не включать данную привилегию.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

72. "Обновление MariaDB с устранением zero-day уязвимости,..."  +1 +/
Сообщение от angra (ok) on 04-Дек-12, 13:37 
Понятно, встретил слово security и испытал приступ медвежьей болезни. А так сладко пел про тщательное изучение.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

29. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 03-Дек-12, 22:52 
> Да тут не важно — направо или налево. Просто любой нормальный человек,
> если ему понадобится что-то включить, то он это сделает и просто
> проверит — работает или нет. Если мне понадобится включить «FILE», то
> я его просто включу. И только если оно не заработает так
> как мне надо, тогда только полезу в документацию смотреть причины такого
> поведения.

я надеюсь, ты админишь только локалхост. если вдруг — нечаянно — ты работаешь, например, админом у какого-нибудь хостера, то скажи название, пожалуйста. нет, мне не чтобы жаловаться, мне чтобы случайно не вляпаться.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

44. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от Etch on 03-Дек-12, 23:47 
Переход на личности? Не волнуйтесь, не вляпаетесь, моя компания IT-услуг не оказывает. Вернее - вляпываться будете постоянно (по своему опыту сужу), ибо такие крутые админы только в сказках обитают и работают только за соответствующую (сказочную) зарплату.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

46. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 04-Дек-12, 00:01 
> Не волнуйтесь, не вляпаетесь, моя компания IT-услуг не оказывает.

счастье-то какое.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

37. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 03-Дек-12, 23:22 
> А так, чтоб читать всю документацию от корки до корки и постоянно держать всё это в голове - я таких людей не встречал

вообще ты не прав. Админ, особенно ДБАшник, обязан это делать. Т.е. как минимум читать документацию по незнакомым моментам. Но чем проще и консистентнее дизайн системы, тем меньше шансов ошибиться, потому и

> Просто пишите так, чтоб было безопасно by design, и чтобы случайно отстрелить себе что-то было невозможно.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

41. "Обновление MariaDB с устранением zero-day уязвимости,..."  +1 +/
Сообщение от Etch on 03-Дек-12, 23:37 
>> А так, чтоб читать всю документацию от корки до корки и постоянно держать всё это в голове - я таких людей не встречал
> вообще ты не прав. Админ, особенно ДБАшник, обязан это делать. Т.е. как
> минимум читать документацию по незнакомым моментам.

Вот признайтесь честно, кто знал про эту уязвимость или хотя бы про опцию secure-file-priv и что её надо обязательно включать и настраивать если кому-то даёте привилегии "FILE". Интересно, много таких? Задним-то умом мы все сильны.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

43. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 03-Дек-12, 23:46 
причём тут, млять, "знал"? 'обязан узнать', особенно когда речь идёт о какой-то заведомо странной хренотени типа "FILE".
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от Etch on 04-Дек-12, 00:18 
> причём тут, млять, "знал"? 'обязан узнать', особенно когда речь идёт о какой-то
> заведомо странной хренотени типа "FILE".

Ага, вот и начинается - не знал, но обязан узнать. Обязан, конечно, если тебе за это деньги платят. Вот только в документации про это - сюрприз - в ожидаемом месте ни слова:
http://dev.mysql.com/doc/refman/5.6/en/grant.html

И в описании про эту опцию тоже не особо много написано (это если ещё найдёшь её):
  --secure-file-priv=name
                      Limit LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE() to
                      files within specified directory

Не, если постоянно админишь линуксы с мускулами, то наверняка такие вещи будешь знать и по-любому включишь эту опцию (опять же, если найдёшь) даже просто чтоб спокойней было. Если это твоя специализация. А если это студент на полставки 10 компов с виндами эникеет плюс сервер с сайтом компании? Жизнь ведь не чёрно-белая, она намного многообразнее.


ЗЫ: Нет, мне всё-таки стало очень интересно узнать - сколько людей из считающих, что CVE-2012-5613 не является уязвимостью (или считающих себя крутым админом), знали об этом подводном камне. Ну или если не знали за ненадобностью, то алгоритм ваших действий в случае если надо дать кому-то привилегии "FILE". - По пунктам: начну отсюда, потом почитаю там-то, и в конце включу такую-то опцию. Только чур честно.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

51. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 04-Дек-12, 00:35 
> А если это студент на полставки 10 компов с виндами эникеет плюс сервер с
> сайтом компании?

то там столько дырок, что одной больше, одной меньше…

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

58. "Обновление MariaDB с устранением zero-day уязвимости,..."  +1 +/
Сообщение от Etch on 04-Дек-12, 01:21 
Дык, не удивительно. При таком то отношении разработчиков...
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

64. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 04-Дек-12, 09:38 
> Дык, не удивительно. При таком то отношении разработчиков…

каком «таком»? тебе в описании что написали? http://www.opennet.dev/openforum/vsluhforumID3/87589.html#61
не ясно, чем это чревато? тогда да, разработчики забыли позаботиться об олигофренах.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от myhand (ok) on 04-Дек-12, 12:55 
>> ага. а то админы — они такие: раздают права направо и налево.
> Да тут не важно - направо или налево. Просто любой нормальный человек,
> если ему понадобится что-то включить, то он это сделает и просто
> проверит - работает или нет.

К счастью, в приличных местах таких "нормальных" апологетов метода тыка - гонят ссаной тряпкой.  Рано или поздно.

> А так, чтоб читать всю документацию от корки до корки и постоянно
> держать всё это в голове

"Постоянно держать все в голове" - не нужно.  Что нужно - прочитать документацию по опции полностью, раз уж собрался ей воспользоваться.  *Перед* включением.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

81. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от Elhana (ok) on 17-Дек-12, 18:17 
В большинстве случаев file + sql injection = shell с правами web сервера.
Всяких вам творческих успехов с таким подходом к работе!

Если пользователям файлы заливать на сайт надо - тоже просто анонимный фтп доступ откроете в директорию сайта и пусть скрипты заливают? )

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

82. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от Etch on 18-Дек-12, 06:32 
> В большинстве случаев file + sql injection = shell с правами web
> сервера.

Кто сказал, что file будет даваться веб-приложению? Наверное это юмор из того же разряда, что и про анонимный фтп.

И вообще-то изначально речь шла не про админов, а про программистов, которым лень исправлять уязвимости. Это потом набежали админы локалхостов, которым достаточно всретить слово security, чтобы наложить в штаны и никогда не использовать подобных привилегий.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

25. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от myhand (ok) on 03-Дек-12, 22:34 
>> А почему нет?  Для пользователя с правами администратора - это вполне
>> имеет смысл.
> Пусть делают отдельную опцию и в документации напишут чем это опасно.

Написали чем опасно.  Около уже существующей опции FILE.  Я даже выше ткнул носом местных "чукч" в пост.  

> Кому это действительно понадобится (а таких - меньшинство), те включат и будут
> точно знать зачем это надо и чем чревато.

Если сейчас эти буратины (не буду указывать пальцем) не сумели прочитать документацию по гранту FILE - почему тогда сумеют?

> В общем, с точки зрения сисадмина - полнейший бред.

А с точки зрения системного администратора - вполне нормальное и *документированное* поведение.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

38. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Etch on 03-Дек-12, 23:25 
> Написали чем опасно.  Около уже существующей опции FILE.  Я даже
> выше ткнул носом местных "чукч" в пост.

http://dev.mysql.com/doc/refman/5.6/en/grant.html
Пальцем покажете где написано? А ведь это та самая страница, на которую я полезу почитать про эту опцию перед её включением. А ведь многие и туда не полезут, в лучшем случае на форумах прочитают готовую команду.

>> Кому это действительно понадобится (а таких - меньшинство), те включат и будут
>> точно знать зачем это надо и чем чревато.
> Если сейчас эти буратины (не буду указывать пальцем) не сумели прочитать документацию
> по гранту FILE - почему тогда сумеют?

Во-первых, большинству это просто не понадобится;
во-вторых в описании опции просто обязано быть написано что она делает и, даже если не писать специально о её опасности, то даже последний даун заподозрит какой-то подвох - а зачем это сделали отдельную опцию и действительно ли мне нужно пускать этого юзера в каталог с данными;
в-третьих - можно обойтись вообще без опции, а сделать простую логику: если уже имеешь права админа, то флаг тебе в руки, а если не имеешь, то и нефиг тебе там делать. Вроде я уже писал об этом...

>> В общем, с точки зрения сисадмина - полнейший бред.
> А с точки зрения системного администратора - вполне нормальное и *документированное* поведение.

Удачных поисков в документации (см. выше) и прокачке скиллов в определении мест, в которых разработчики подложили вам очередную свинью.
Задокументировать можно любую глупость, умнее и нормальнее она от этого не станет. А умные вещи, кстати, и без документации очевидны.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

48. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  –2 +/
Сообщение от ZloySergant (ok) on 04-Дек-12, 00:23 
>А ведь это та самая страница, на которую я полезу почитать про эту опцию перед её включением.

Потому что де^Wчукча писатель, а не читатель.
На, читай. Сначала http://dev.mysql.com/doc/refman/5.6/en/privileges-provided.h... , после которого у админа должно начаться чесание задницы предвещающей неприятности потом сцылкой оттуда http://dev.mysql.com/doc/refman/5.6/en/string-functions.html... , где есть намек на то что попаболи можно избежать; и, уже http://dev.mysql.com/doc/refman/5.6/en/server-system-variabl...

Впрочем, если последний раздел админ не читал, то он уже не одмын и не чукча, а - дебил.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

57. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Etch on 04-Дек-12, 01:20 
Минус за оскорбления.

Итак, подведём итоги. Чем опасна привилегия "FILE" (то, что я и просил показать, а не просто ссылку на опцию) - нигде не написано. О необходимости запрета доступа к папке с данными - не написано. О возможном повышении привилегий - не написано. Ссылка на нужную опцию находится в трёх кликах.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

60. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Kot (??) on 04-Дек-12, 04:50 
> Минус за оскорбления.

Коллеги, срач можно заканчивать.
Вот я - типичный быдлоадмин, если рассматривать меня, как DBA. Про уязвимости в мускуле узнал вот только сейчас, да и то, скорее - случайно.
Ради интереса полез поглядел права на десятке мелких серверов, File нет ни у кого, кроме root-a. Что логично: мускуль я рассматриваю как пассивное хранилище, само ничего не умеющее. И вообще, когда говорят о мускуле, быдлоадмин имеет в ввиду php+mysql. Ну или Perl/Python/...+mysql. Триггеры и хранимые процедуры на мускуле неудобны (сравниваю с другими БД), потому ими я особо и не пользуюсь, успешно заменяя скриптами на P...
Также интуитивно понятно, что File - "завышенная" привелегия, т.к.
1) Эта глобальная привелегия.
2) По дефолту юзер её не получает.
Ну и достаточно прочитать, что мы с этого имеем - доступ к файлам системы из БД, чтобы устрашиться (цена sql-injection повышается на порядок) и обойти стороной.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

66. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 04-Дек-12, 09:42 
> Ну и достаточно прочитать, что мы с этого имеем - доступ к
> файлам системы из БД, чтобы устрашиться

как видишь, достаточно не всем: некоторые персонажи категорически отказываются включать мозг. уж не знаю, потому ли, что устройство дорогое, жалко лишний раз использовать, или по какой другой причине.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Обновление MariaDB с устранением zero-day уязвимости,..."  +/
Сообщение от arisu (ok) on 04-Дек-12, 09:40 
> Итак, подведём итоги. Чем опасна привилегия «FILE» (то, что я и просил
> показать, а не просто ссылку на опцию) — нигде не написано.

http://www.opennet.dev/openforum/vsluhforumID3/87589.html#61

> О необходимости запрета доступа к папке с данными — не написано.

ЛОЛЩИТО? слушай, а если на сортире нет надписи «вытирайте задницу после процесса дефекации» — то задницу вытирать не надо, да?

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

70. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +2 +/
Сообщение от myhand (ok) on 04-Дек-12, 13:04 
>> Написали чем опасно.  Около уже существующей опции FILE.  Я даже
>> выше ткнул носом местных "чукч" в пост.
> http://dev.mysql.com/doc/refman/5.6/en/grant.html
> Пальцем покажете где написано? А ведь это та самая страница, на которую
> я полезу почитать про эту опцию перед её включением.

Вам ответили: #48.  Нет, к сожалению, в документации необходимого вам комикса или готового эксплойта - нету.  Головой таки нужно немного думать и о том как организована система прав в mysql - нужно знать, чтобы знать куда "лезть"...

Куда конкретно *вы* полезете - мне без разницы.

> А ведь многие и туда не полезут, в лучшем случае на форумах прочитают
> готовую команду.

Это просто менее продвинутые буратины, только и всего.

> А умные вещи, кстати, и без документации очевидны.

"Очевидно" только назначение мамкиной титьки.  Всему остальному документация - необходима.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

34. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от Sauron (??) on 03-Дек-12, 23:02 
emerge -C mysql && emerge -1 mariadb

достали!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +1 +/
Сообщение от epic_fail on 04-Дек-12, 11:08 
Что все так прозрачно? Т.е. у MariaDB даже конфиг по дефолту такой же как у мускуля?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

73. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  +/
Сообщение от Adui on 04-Дек-12, 14:37 
тюнинг у mariadb побольше, но они не утруждались файл конфигурации привести к продакшену
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

80. "Обновление MariaDB с устранением zero-day уязвимости, затраг..."  –1 +/
Сообщение от Andrey Mitrofanov on 04-Дек-12, 20:21 
Мне одному показалось, что "zero-day" и "exploit", в частности, не совсем про эти уязвимости? Ну, значит, показалось.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру