URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 82531
[ Назад ]
Исходное сообщение
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено opennews , 22-Янв-12 23:42 
Несколько недавно найденных уязвимостей:


-  Компания Oracle сообщила (http://www.oracle.com/technetwork/topics/security/cpujan2012...) об исправлении в MySQL 27 уязвимостей, большинство из которых позволяют инициировать крах СУБД через выполнение специально оформленного SQL-запроса аутентифицированным пользователем. Одна DoS-уязвимость позволяет вызвать отказ в обслуживании не аутентифицированным пользователем. Две уязвимости позволяют аутентифицированным пользователем получить доступ к закрытым данным. Одна уязвимость позволяет локальному пользователю поднять свои привилегии. Подробности о сути уязвимостей не сообщаются, но судя по всему  они уже исправлены в Community-версиях MySQL;

-  В Gitorious (http://gitorious.org/gitorious/mainline), открытом web-интерфейсе для управления исходным кодом, развиваемым одноимённым хостингом открытых проектов, найдена уязвимость (http://secunia.com/advisories/47663/) (эксплоит (http://1337day.com/exploits/17406)), позво...

URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=32869

Содержание
Сообщения в этом обсуждении
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 22-Янв-12 23:42 
> В OpenSSL 0.9.8t и 1.0.0g устранена уязвимость,

Весьма забавна природа происхождения этой уязвимости:
> A flaw in the fix to CVE-2011-4108 can be exploited in a denial of service attack.

(Из DSA: CVE-2011-4108 The DTLS implementation performs a MAC check only if certain padding is valid, which makes it easier for remote attackers to recover plaintext via a padding oracle attack.)

Т.е. так спешили пофиксить одну дыру, что тут же сделали вторую :)

"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Andrey Mitrofanov , 23-Янв-12 11:02 
>что тут же сделали вторую :)

Да, люди делают ошибки. Что Вас в этом удивляет? Что радует??

"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Avator , 23-Янв-12 00:52 
Да уж, MySQL это караул..... "как страшно жить" (с)
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено ананим , 23-Янв-12 03:47 
думаете в других субд лучше?
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено да , 23-Янв-12 09:05 
да
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Andrey Mitrofanov , 23-Янв-12 11:03 
зря
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 16:57 
> да

И что служит основанием для данной точки зрения?

"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено xi , 23-Янв-12 20:44 
http://ru.wikipedia.org/wiki/PostgreSQL#.D0.9D.D0.B0.D0.B4.D...
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено ананим , 24-Янв-12 04:44 
подобная статистика на самом деле ни о чём не говорит.
может быть масса мелких и не критичных ошибок.
а может быть одна, но такая байдезигн, что фиг исправишь.
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Sylvia , 23-Янв-12 07:18 
хуже что они (oracle) не сообщили подробности и не хотят этого делать, теперь разработчикам MariaDB например приходится анализировать патчи
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено anonymous , 23-Янв-12 08:44 
А с чего это им нужно подробности сообщать? Уязвимость устранили? Какие еще вопросы?
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 08:47 
MS так делает, ага
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено anonymous , 23-Янв-12 09:04 
И? Где нужно смеяться?
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено anonymous , 23-Янв-12 15:32 
>И? Где нужно смеяться?

В кресле Стива или Ларри?

"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 16:58 
> А с чего это им нужно подробности сообщать? Уязвимость устранили? Какие еще
> вопросы?

Да никто и не сомневался что оракл - жлобс :)


"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 12:28 
Интересно - вы RedHat за это не осуждаете? А они поступают ровно так же.
А раз не осуждаете - почему вы позволяете себе осуждать Oracle?
и с каких пор проблемы форка - тем более сделанного так не красиво - через нарушение обязательств по контракту - должны волновать основной проект ?
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Verbum , 23-Янв-12 13:18 
Если речь идет о MariaDB то можно подробнее - про какие нарушения по контракту вы говорите?
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 15:53 
Типовой контракт при поглощениях - имеет пунктик - сколько-то лет (5 обычно) не создавать продукты которые могут конкурировать с оригиналом.
А этот тип и бабло взял с sun - и этот пункт контракта нарушил.
Непорядочно как-то.
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Онаним , 23-Янв-12 16:04 
Как страшно жить!!! Ведь Ларри такой душка...
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 16:23 
> Как страшно жить!!! Ведь Ларри такой душка...

а причем тут Лари? человек кинул тогда Sun - который много вложил и в opensource в том числе.
Да и если брать Oracle - вор укравший у человека который вам не симпотичен перестает быть вором?
помоему нет. Так и тут - основатель MariaDB - просто вор.

"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено n , 24-Янв-12 01:16 
И что, когда этот договор подписывался - Вы свечку держали? Очевидно, что если ни сан ни оракл не наехали в судебном порядке, то это значит что основания для наезда в виде "типового контракта" скорее всего нет. Согласитесь, что хаять Видениуса по предположению нарушения контракта "Непорядочно как-то".
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Клыкастый2 , 26-Янв-12 18:50 
да ладно. тут каждый второй телепат.
"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 15:54 
> Если речь идет о MariaDB то можно подробнее - про какие нарушения
> по контракту вы говорите?

ах да, еще и долго пиарился - требовал вернуть ему MySQL (tm).
так что - пусть этот негодяйчик идет куда нить подальше... лесом.

"Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSS..."
Отправлено Аноним , 23-Янв-12 16:59 
> так что - пусть этот негодяйчик идет куда нить подальше... лесом.

Если выбирать между негодяйчиком Ларри и негодяйчиком Видениусом - я пожалуй за второго буду.