Вопрос: |
Исследователь Пали Рохар (****;*) обнаружил, что разработчики MySQL не сумели до конца исправить старую уязвимость, известную как *. В результате этого образовалась новая проблема *-****-****, которую специалист назвал «Решето» (Riddle).
Рохар пишет, что баг представляет опасность для MySQL *.* и *.*, хотя исправление было представлено в версиях *.*.** и *.*.**, оно не сумело решить проблему по конца. Впрочем версии старше *.*, равно как и *, проблеме не подвержены.
Напомню, что проблема * состояла в том, что MySQL оставлял пароль видимым для атакующих, что позволяло злоумышленникам перехватить учетные данные, даже если подключение защищено и использует SSL. Для этого хакерам нужно было лишь предварительно реализовать *middle атаку.
«Обновление безопасности MySQL *.*.** и *.*.** добавляло дополнительную проверку параметров безопасности после завершения процесса аутентификации. Так как она осуществляется после аутентификации, атакующий может использовать атаку *riddle*middle и даунгрейд SSL, чтобы похитить учетные данные и немедленно использовать их для аутентификации на MySQL-сервере, — пишет Рохар. — Самое смешное заключается в том, что MySQL-клиент не сообщит о каких-либо ошибках, связанных с SSL, когда сервер откажется аутентифицировать пользователя, вместо этого появится сообщение сервера, об ошибке шифрования. Хуже того, когда атака riddle*middle активна, даже сообщение об ошибке находится под контролем злоумышленников».
Исследователь призывает всех срочно обновиться до MySQL *.* или перейти на использование *, где проблема была полностью устранена. По словам Рохара, сообщать о баге разработчикам * бесполезно, если вы не являетесь их клиентом. «Они просто игнорируют любые сообщения, и были бы очень счастливы, если бы никто не узнал об этом, и им не пришлось бы исправлять баги», — пишет специалист. |
Ответ: |
Здравствуйте.
Вопрос передан администратору, ожидайте пож. |
Ответ: |
Здравствуйте. версии mysql стоят самые последние в своем ряду. обновленеи до *.* не представляется возможным даже теоретически т.к много функций не имеют обратной совместимости и сайты на сервере перестанут работать, кроме того панель не поддерживает mysql *.* . на сервере стоит mysql *.* самой последней безопасной редакции |
Вопрос: |
Спасибо!
а можно хотя бы до *.* обновить?
клиент параноит
имеет поверхностные знания |
Ответ: |
Обновить нет, перенести на сервер с версией *.* - да. |
Вопрос: |
да замечательно , отличный вариант
а как это сделать?
нужна какая то заявка?
спасибо! |
Ответ: |
этот сервер не в росии, вас это устроит? |
Вопрос: |
аа нет
спасибо |
Ответ: |
ок |
|