Создать ответ 
 
Рейтинг темы:
  • Голосов: 9 - Средняя оценка: 1.78
  • 1
  • 2
  • 3
  • 4
  • 5
Обход авторизации в СУБД MySQL и MariaDB
Автор Сообщение
Security Не на форуме
Senior Member
****

Сообщений: 744
Зарегистрирован: 21-11-2009
Рейтинг: 0
Сообщение: #1
Обход авторизации в СУБД MySQL и MariaDB
Разработчики MariaDB заявили об обнаружение в СУБД MySQL достаточно простой в использование критической уязвимости CVE-2012-2122, позволяющей обойти авторизацию и получить доступ к содержимому БД. Уязвимым оказался модуль "sql/password.c", в котором для возвращения результата сравнения хэшей пароля применяется функция "memcmp()". Наличие уязвимости зависит ни только от версии СУБД, но и от компилятора, с помощью которого была произведена сборка. Так, популярные компиляторы (gcc и BSD libc) и оригинальные дистрибутивы имеют безопасную реализацию уязвимой функции "memcmp()", что делает систему неуязвимой для обнаруженной ошибки. В случае, если значение возвращаемое функцией "memcmp()" не подвергается дополнительной проверке, злоумышленнику достаточно совершить около 300 попыток авторизации с известным именем пользователя (например, "root") и случайными значениями пароля для получения доступа к СУБД. Уязвимыми оказались все версии MySQL и MariaDB до версии 5.1.61, 5.2.11, 5.3.5, 5.5.22 включительно. Среди уязвимых ОС, использующих по умолчанию небезопасный вариант функции "memcmp()" при сборке дистрибутива называются: Ubuntu 64-bit (10.04, 10.10, 11.04, 11.10, 12.04); OpenSUSE 12.1 64-bit; Fedora 16 64-bit; а также Arch Linux. Несмотря на это, разработчики рекомендуют обновить СУБД до последней доступной версии, а также по возможности разрешить доступ в систему лишь доверенным узлам сети.

Опубликовано: 11-06-2012
Подробнее: http://uinc.ru/news/oa597.html
11-06-2012 12:51
Вебсайт Найти все сообщения Цитировать это сообщение
Создать ответ 


Похожие темы
Тема: Автор Ответов: Просмотров: Посл. сообщение
  Обход HTTP-авторизации в компонентах видео-наблюдения Samsung Security 0 2,538 11-10-2013 14:02
Посл. сообщение: Security
  На сервере Minecraft устранена уязвимость в системе авторизации Security 0 2,472 20-07-2012 20:35
Посл. сообщение: Security
  В веб-авторизации Windows Live исправлена XSS-уязвимость Security 0 2,436 14-07-2012 01:08
Посл. сообщение: Security
  Голос из iPhone 4S сдает секреты в обход паролей Security 0 2,658 20-10-2011 20:19
Посл. сообщение: Security
  Сайт MySQL хакнули SQL-инъекцией Security 0 2,222 28-03-2011 12:05
Посл. сообщение: Security
  "Китайские хакеры" стащили у Google систему авторизации Security 0 2,306 20-04-2010 11:50
Посл. сообщение: Security
  Яндекс.Деньги ввели одноразовые коды авторизации Newsman 0 2,949 15-06-2009 12:25
Посл. сообщение: Newsman
  Обход защиты памяти в Vista Newsman 0 2,377 20-09-2008 16:49
Посл. сообщение: Newsman
  Microsoft представила СУБД SQL Server 2008 Newsman 0 2,878 07-08-2008 22:50
Посл. сообщение: Newsman



Пользователи просматривают эту тему: 1 Гость(ей)
Обратная связьSitesCo.ruВернуться к началуВернуться к содержимомуЛёгкий режимСписок RSS