Титла: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: b2l в Jun 13, 2012, 10:00 http://seclists.org/oss-sec/2012/q2/493
Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: dejuren в Jun 13, 2012, 17:43 Как да проверим:
Код: /* Уязвимостта не се проявява върху Red Hat Enterprise Linux Server release 5.5 (Tikanga) с версия mysql-server-5.5.25-1.el5.remi Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: borovaka в Jun 13, 2012, 20:14 @dejuren Трябва и едно #include <time.h> ама нещо не работи коректно. При теста с това нещо ми дава, че системата ( 8.1-RELEASE FreeBSD 8.1-RELEASE със MySQL - 5.5.15) е уязвима, но при тест не се получава ...
Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: dejuren в Jun 13, 2012, 21:28 @dejuren Трябва и едно #include <time.h> ама нещо не работи коректно. При теста с това нещо ми дава, че системата ( 8.1-RELEASE FreeBSD 8.1-RELEASE със MySQL - 5.5.15) е уязвима, но при тест не се получава ...Под RHEL 5.5 се компилира без допълнителен include. А ако при теста ти не се получава ключовата дума е "случайно". Трябва да пердашиш сървъра със заявки за парола, докато случайно не се окажеш логнат. И разбира се трябва да знаеш някой логин. Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: borovaka в Jun 13, 2012, 21:38 @dejuren Точно по начина по който си ми писал го тествах, дори пробвах да въртя и с рандом пароли и пак нищо. Опити правих някъде 2 часа и нищо. Тествах с цикъл до 10000, няколко пъти с различни постановки относно паролата. Иначе имам достъп до сървъра, тествам го с реален потребител.
Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: dejuren в Jun 13, 2012, 21:45 Е в такъв случай може да минаваш метър. Но понеже не се знае пачни го серверот да не се окаже някое скрипт кид по-късметлия.
Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: borovaka в Jun 13, 2012, 22:07 това ни е dev сървъра за това не е голям приоритет, тези дни може наистина да има един update :)
Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: Neo2SHYAlien в Jun 13, 2012, 23:54 Дам remi са пачнати както и debian stable като цяло пача е лементарен http://bazaar.launchpad.net/~mysql/mysql-server/5.1/revision/3560.10.17#sql/password.c
Титла: Re: Security vulnerability in MySQL/MariaDB sql/password.c Публикувано от: b2l в Jun 14, 2012, 08:53 Дам remi са пачнати както и debian stable като цяло пача е лементарен http://bazaar.launchpad.net/~mysql/mysql-server/5.1/revision/3560.10.17#sql/password.c Това го гледах вчера, а някой може ли да ми каже каква е тази функция test();? |