Harald Brombach (digi.no) Skrevet 13. september 2016 Del Skrevet 13. september 2016 IngressKritisk MySQL-sårbarhet har blitt avslørt. Ingen sikkerhetfiks tilgjengelig Lenke til kommentar
soulless Skrevet 13. september 2016 Del Skrevet 13. september 2016 Her er en litt mer kritisk gjennomgang av artikkelen: https://www.reddit.com/r/netsec/comments/52dgxh/mysql_remote_root_code_execution_privilege/d7jefp0 I korte trekk ser det altså ut til at det kreves tilgang til å kjøre queries på server (SQL injeksjon kan ikke benyttes) og at database bruker må ha SUPER tilgang. Ikke helt superkritisk mao, men ille nok likevel. Lenke til kommentar
tommyb Skrevet 13. september 2016 Del Skrevet 13. september 2016 "For i utgangspunktet planlegger ikke Oracle å fjerne sårbarheten før i midten av oktober. " *grumble* Lenke til kommentar
tingo Skrevet 13. september 2016 Del Skrevet 13. september 2016 (endret) Interessant. På FreeBSD så startes mysqld_safe som mysql brukeren, dermed rammes man ikke av root bruker sårbarheten. mysqld_safe scriptet har heller ikke set_malloc_lib() på FreeBSD. (det er fremdeles ikke lurt å la mysql brukeren ha rettigheter til å endre my.cnf) Endret 13. september 2016 av tingo Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå