18-06-2012, 07:01
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
בעיית אבטחה ב MySQL המאפשרת התחברות לשרת ללא הזדהות בפלטפורמות מסויימות
לפרטים נוספים:
https://community.rapid7.com/commun...y-flaw-in-mysql
יש לציין, שבברירת מחדל, MySQL לא מאזין על ממשקי רשת פומביים, ככה שהבעייה אמורה להיות מוגבלת למשתמשים שכבר יש להם גישה למכונה - אם ברירת המחדל לא שונתה. בכל מקרה, רצוי לתקן :-)
באופן כללי, מי שפותח שרתים שאין צורך לפתוח כלפי האינטרנט, כדאי שיחשוב שוב על מה הוא עושה. גם אם ישנה דרישה לגישה ע"ג הרשת, ניתן להגביל חיבורים כך שיתאפשרו רק מה IP של המחשב שממנו צריך להתחבר, ולא מכל ה 4 מליארד שיש באינטרנט (או יותר, כשיגיע IPv6 במהרה בימינו...)
בחלק ניכר מהפלטפורמות הבעייה לא תשפיע. המושפעים העיקריים הם אנשים שמריצים הפצות לא פופולאריות לשרתים או גירסאות לא יציבות, למעט... אובונטו, שמושפעת בכל גירסאות ה 64 ביט שלה (כלומר סביר להניח כל אובונטו שמותקן על כל שרת מודרני), שלצערי נהייתה פופולארית בשרתים, לפחות בישראל. ותזכרו מי תמיד היה נגד אובונטו כהפצה בכלל, ובשרתים, בפרט . ההפצה הבינארית הרשמית של MySQL וההפצות מבית רדהאט, CentOS, דביאן יציב, ג'נטו, סוזה ו FreeBSD, כולן אינן מושפעות.
|