- A hozzászóláshoz be kell jelentkezni
- 5151 megtekintés
Hozzászólások
MariaDB:
https://jira.mariadb.org/browse/MDEV-10465
PerconaDB:
https://www.percona.com/blog/2016/09/12/percona-server-critical-update-…
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A debian stable-update-ek még nem jöttek ki, sajnos: https://security-tracker.debian.org/tracker/CVE-2016-6662
Emiatt mindenféle kerülő megoldásokat kezdtek el alkalmazni a hozzám hasonló aggodalmaskodók: https://www.psce.com/blog/2016/09/12/how-to-quickly-patch-mysql-server-…
- A hozzászóláshoz be kell jelentkezni
Hat en nem neveznem RCE-nek azt a sebezhetoseget, amihez adminisztratori sql hozzaferes (SUPER) szukseges (sql injection nem jatszik)
- A hozzászóláshoz be kell jelentkezni
Elolvastad a legalhackers-es doksit? 3-féle exploit technológiát ír le, ebből csak az egyikhez adta meg a kész eszközt.
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
- A hozzászóláshoz be kell jelentkezni
ha tényleg elolvastad, a másik kettő ugyan azt a felületet használja ki... ha elolvastad ;)
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Elég lehet a FILE privilégium is szerintem, bár normális esetben az se kellene, hogy minnapos legyen, de tele a net egyébként GRANT ALL engedélyekkel telepített webalkalmazásokkal, úgyhogy az SQL injection is erősen játszik... ;)
- A hozzászóláshoz be kell jelentkezni
Az SQL injection szerintem azert nem jatszik, mert eventeket kell letrehozni, ami sql injectionnel eleg nehez: az altalam probalt programnyelvek (php, python) alapbol tiltjak a multi-queryt tehat nem tudsz ;-t injectalva egy teljesen masik parancsot futtatni.
- A hozzászóláshoz be kell jelentkezni
nem értem mi ez a nagy hype a sérülékenység körül. elolvasták vajon az emberek a POC leírást? rossz config owner, super jogok, syntax error-os conf lesz, kell hozzá mysql reboot... azért ez nem egy általános felállás szerintem
- A hozzászóláshoz be kell jelentkezni
vihar a biliben, semmi több
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Azert az nem tul szep dolog hogy MariaDB 5.5.51-et augusztus 10-en adtak ki (ez a verzio mar javitott), es a mai napon (konkretan tobb mint 1 honappal kesobb) Ubuntu 14.04 LTS meg mindig 5.5.49-re mondja azt hogy a legfrissebb.
Tudom, tudom, hasznaljam az official repo-t, de az ubuntu ha 40 napig keptelen frissiteni egy meglehetosen fontos csomagot akkor vegye ki a sajat repojukbol a mariadb-t es mondja azt hogy telepitsd kulso repobol.
Minden ilyen alkalommal ujra es ujra radobbenek hogy miert imadom a FreeBSD-t es a ports tree-jet.
- A hozzászóláshoz be kell jelentkezni
Az Ubuntu nem nyujt hivatalos tamogatast a universe-hez. Bovebben lasd security FAQ
- A hozzászóláshoz be kell jelentkezni
Az Ubuntu alatt nem csak a ceget ertem hanem a community-t is.
Sehol nem latok arra mentseget hogy egy remote root exploit-os, meglehetosen elterjedt csomagot 40 nap alatt nem sikerult frissiteni.
- A hozzászóláshoz be kell jelentkezni
FYI: a changelog alapjan 14-en megerkezett az 5.5.52-es verzio a trusty-hoz, szoval mire megirtad a hozzaszolasod, mar elerheto volt. Ha nem tetszik a karbantarto sebessege, akkor lehet neki segiteni, errol szol a community, nem arrol, hogy csak kovetelozunk.
- A hozzászóláshoz be kell jelentkezni