Oracle усунула серйозний баг в MySQL

Написано в Uncategorised
  • Переглядів: 1488

Усунена серйозна вразливість в системі управління базами даних MySQL і соплатформенній СУБД MariaDB. Уразливість, що отримала індекс CVE-2012-2122 усунена у всіх підтримуваних компанією Oracle версіях MySQL. Варто зазначити, що MySQL 5.1 і 5.5 убезпечили ще минулого місяця. Офіційних заяв розробники не робили, давши користувачам час оновити свої версії СУБД. Уразливість має місце лише на деяких конфігураціях, що використовують функцію memcmp (), значення якої виходить за рамки діапазону -128 - 127, тобто на сконфігурованих певним чином Linux-системах.

Як заявив Сергій Голубчик, технічний адміністратор системи MariaDB, проблема полягає в тому, що порівняння хеша пароля користувача з хешем бази даних іноді приймає, як вірний, навіть свідомо неправильний пароль. Вірогідність виникнення такої ситуації - 1 до 256. З урахуванням можливостей сучасних парсерів, що роблять понад 300 запитів в секунду, можна говорити про практично повну відсутність захисту.

Даний метод тестування вразливостей вже додали в пакет Metasploit. За словами розробників Metasploit, отримати доступ, а то і паролі користувачів за допомогою даного методу можна. Атакувавши неоновленою версію MySQL на наступних платформах: Ubuntu, Fedora 16, OpenSuSE і Arch Linux. Теоретично, як і раніше уразливі бази даних, що використовують MySQL 5.0.x. Справа в тому, що в цій версії СУБД уразливість не усунуто, оскільки Oracle припинила її підтримку.

Друзі сайту: можливо вам знадобиться посудомоечная машина киев за низькими цінами.


2011-2017 Всі права захищено.
При копіюванні матеріалів пряме посилання на сайт myslinsky.org обов"язкове, інакше - знайду і руки відірву :)
Designed by Myslinsky Vladislav (or not).
Головна | Контакти | Про автора