MySQL 0day

 ( Hunger | 2012. február 11., szombat - 12:57 )

Két éve a VulnDiscoban kiadott Firefox 0day nagy port kavart. Sokan el se hitték szokás szerint, hogy létezik, mások egyenesen állították, hogy csak Windows alatt használható ki. A Mozilla később elismerte a hibát, majd sok bénázást követően javította azt, de ez se mentette meg attól, hogy egy másik 0day által döntse le Nils a Firefoxot a Pwn2Own versenyen. Azt követően a ZDI pedig újabb 6 Firefox távoli kódvégrehajtásra alkalmas hibáról adott hírt.

Most ismét egy népszerű nyílt forráskódú szoftverhez árul az Intevydis exploitot. Ezúttal ráadásul Debian Linux 6.0 alatti MySQL 5.5.20 verzión lett tesztelve, így a felesleges "csak Windowson használható ki" FUD köröket sem kell lefutni.

Az OSS-Security listán már megy az agyalás róla, hogy milyen hiba lehet. Egyelőre az egyik tipp a CVE-2012-0492, amelyik pre-auth sebezhetőség, azaz jelszó ismerete nélkül is kihasználható a hiba kódvégrehajtásra. Egyes Debian fejlesztők persze megint próbálják kisebbíteni a hibát olyan beírásokkal, hogy lehet csak egy DoS probléma... Úgy tűnik egyesek semmiből se tanulnak. :)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Jót nevettem a belinkelt blogbejegyzésen (hozzászólások). :D

Ez a hiba is jól ki lesz majd magyarázva, már látom előre. Corsac mindenesetre aranyosan naív. :)

Mit is várunk az expert SSL patcher-ektől :)


[ NeoCalc - Earnings Calculator for NeoBux ]

Benne volt ezek szerint valamelyik leírásban, hogy Debian-only?

--
Java apps are nothing more than sophisticated XML-to-exception converters.

Biztos arra értette, hogy az egyik Debian fejlesztő szerint lehet hogy csak DoS... :)

+1 Azota rohadtul felek minden Debian szervertol.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Azert, mert Debianeknal kiderult ez? (Mashol is vannak hasonlok sajnos...)

Addig se voltam tul nagy Debian fan, az a ganyolas, ami a csomagkeszites es a rendszer scriptek kornyeken megy, az naggggyon gaz. Es akkor meg finom voltam, es urias. Az Ubuntu ugyanilyen, nem csoda, egy torol fakadnak, megha ezt tagadjak is.
Es nem csak ez volt. Az update-grub random mukodese, az init scriptek fals pozitiv visszajelzesei, foglalt valtozonevek feluldefinialasa (pl. USER), es meg sorolhatnam. A QA szerintem mast jelent nekik, mint a tobbi rendszernek.
Egy ideig gyujtogettem a bugokat, hogy majd lejelentem, de annyira sok es sokfelebe szaladtam bele, hogy a vegen azt mondtam, hogy nem akarok egy komplett napot elverni ra. En tenyleg szeretem az opensource-t, de ahol ekkora hozza nem ertessel talalkozok, ott nem latom ertelmet fightolni.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Ize, mi cca. 100 szerveren megelegedessel hasznalunk Debian -t (vagy nem futunk bele a tipikius problemakba).
Bar pl vicces volt a fail2ban default konfigjaban a hibas regularis, etc., de ezt nem feltetlen raknam szaz szazalekig a Debian csomagkarbantartok nyakaba...vegyuk azt is figyelembe szamtalan disztro eseteben (es itt a Debianrol is beszelhetunk), mennyi patchet kuldtek be az eredeti fejlesztoknek.

Ilyenkor búúúúús panda vagyok... :(

Izé... de ez csak a Debian 6-ot érinti! ;-)

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Van info arrol, hogy a MySQL derivativak (MariaDB pl.) erintett-e? POC van valamerre?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal