Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10356
  комментариев: 2242

Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устранением уязвимостей


Представлены корректирующие выпуски СУБД MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67, в рамках которой развивается ответвление от MySQL, которое может выступать в роли прозрачной замены MySQL. Кроме исправления большой порции ошибок, в новых выпусках устранено 6 уязвимостей, из которых одна может привести к организации выполнения кода на сервере. Уязвимость является вариантом ранее исправленной проблемы безопасности CVE-2012-5611, выявленной после публикации в списке рассылки Full Disclosure серии zero-day эксплоитов.

Что касается других проблем, то уязвимости CVE-2012-5627, CVE-2012-5615 можно рассматривать как неопасные, так как первая проблема связана с возможностью быстрого подбора паролей (скорость перебора составляет около 5000 комбинаций в секунду) для аккаунта в MySQL при наличии аутентифицированного доступа, а вторая позволяет определить наличия пользователя с заданным именем. Проблемы CVE-2012-5612, MDEV-4029 и MDEV-729 могут привести к осуществлению DoS-атаки, выражающихся в зависании или крахе после выполнения определённых SQL-запросов.

Дополнительно можно отметить заметку Сергея Голубчика, координатора по безопасности проекта MariaDB, ранее в течение 10 лет отвечавшего за вопросы безопасности MySQL. В статье критикуется наблюдаемая в настоящее время тактика компании Oracle по утаиванию уязвимостей в MySQL, следствием чего стало исключение тестового набора из состава MySQL, закрытие доступа к большей части системы отслеживания ошибок и отказ от публикации сгруппированного лога изменений, позволяющего судить о привязке патчей к определённым изменениям. Кроме того, указывается на то, что две из шести уязвимостей, представленных в начале декабря, остаются неисправленными (следует отметить, что речь про незначительные проблемы CVE-2012-5611 и CVE-2012-5612, которые были устранены сегодня в MariaDB), а одна (критическая проблема CVE-2012-5611) была устранена не полностью.


Источник: opennet.ru

  1 февраля 2013 642
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 9 и 12*:            


Хостеры (2444)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 13 и 3*:


Яндекс цитирования
сообщить о неточности