לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה בעיית אבטחה ב MySQL המאפשרת התחברות לשרת ללא הזדהות בפלטפורמות מסויימות
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 18-06-2012, 07:01
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
  
חבר מתאריך: 25.10.01
הודעות: 42,775
בעיית אבטחה ב MySQL המאפשרת התחברות לשרת ללא הזדהות בפלטפורמות מסויימות
לפרטים נוספים:

https://community.rapid7.com/commun...y-flaw-in-mysql

יש לציין, שבברירת מחדל, MySQL לא מאזין על ממשקי רשת פומביים, ככה שהבעייה אמורה להיות מוגבלת למשתמשים שכבר יש להם גישה למכונה - אם ברירת המחדל לא שונתה. בכל מקרה, רצוי לתקן :-)

באופן כללי, מי שפותח שרתים שאין צורך לפתוח כלפי האינטרנט, כדאי שיחשוב שוב על מה הוא עושה. גם אם ישנה דרישה לגישה ע"ג הרשת, ניתן להגביל חיבורים כך שיתאפשרו רק מה IP של המחשב שממנו צריך להתחבר, ולא מכל ה 4 מליארד שיש באינטרנט (או יותר, כשיגיע IPv6 במהרה בימינו...)

בחלק ניכר מהפלטפורמות הבעייה לא תשפיע. המושפעים העיקריים הם אנשים שמריצים הפצות לא פופולאריות לשרתים או גירסאות לא יציבות, למעט... אובונטו, שמושפעת בכל גירסאות ה 64 ביט שלה (כלומר סביר להניח כל אובונטו שמותקן על כל שרת מודרני), שלצערי נהייתה פופולארית בשרתים, לפחות בישראל. ותזכרו מי תמיד היה נגד אובונטו כהפצה בכלל, ובשרתים, בפרט . ההפצה הבינארית הרשמית של MySQL וההפצות מבית רדהאט, CentOS, דביאן יציב, ג'נטו, סוזה ו FreeBSD, כולן אינן מושפעות.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 19-06-2012, 19:15
  טוארג טוארג אינו מחובר  
 
חבר מתאריך: 13.02.09
הודעות: 365
בתגובה להודעה מספר 1 שנכתבה על ידי שימי שמתחילה ב "בעיית אבטחה ב MySQL המאפשרת התחברות לשרת ללא הזדהות בפלטפורמות מסויימות"
מדליק. אבל מי משאיר את פורט 3306 פתוח???
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 26-06-2012, 05:40
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
  
חבר מתאריך: 25.10.01
הודעות: 42,775
בתגובה להודעה מספר 2 שנכתבה על ידי טוארג שמתחילה ב "מדליק. אבל מי משאיר את פורט..."
פורט 3306 לא "מושאר פתוח", אלא "נפתח". כפי שכתבתי בהודעה הפותחת - במקור אין בכלל האזנה כלפי האינטרנט (ובגירסת לא-חלונות, שזה, כנראה, אחוז ניכר מאיפה ש MySQL רץ? אין האזנה אפילו ל localhost, אלא עובדים דרך Unix Socket). בכל זאת לא מדובר ב MS-SQL Server, יש להם שמץ כללי ב Best Practices לאבטחה... הם אפילו מזהירים אותך לגבי סיסמת ברירת מחדל ריקה (מי אמר תולעת שמשתמשת ב "sa", ולא קיבל?)

ובכל זאת - בעייה זו בעייה, ולכן מזהירים את מאית הפרומיל של האנשים שזה אולי משפיע עליהם, ולא מחכים שתהיה תולעת in the wild כדי להצהיר על קיום הבעייה, כפי שעושה חברת תוכנה אחרת, ולא ננקוב בשמות.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 06:15

הדף נוצר ב 0.04 שניות עם 12 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר