Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Обход парольной защиты в линуксовых MySQL: уязвима половина доступных серверов 12.06.12 11:48 Число просмотров: 1074
Publisher: dl <Dmitry Leonov>
|
Обход парольной защиты в линуксовых MySQL: уязвима половина доступных серверов
The Register http://www.theregister.co.uk/2012/06/11/mysql_mariadb_password_flaw/
Некорректное приведение типов в процедуре проверки паролей ряда сборок MySQL и MariaDB приводит к тому, что с вероятностью 1/256 удается выполнить подключение, используя любой пароль - достаточно знать имя пользователя (ну а root-то там обычно бывает). Затронуты версии вплоть до 5.1.61, 5.2.11, 5.3.5, 5.5.22. Разумеется, во многих конфигурациях MySQL закрыт для всех коннектов снаружи, но так бывает далеко не всегда. Ну и героический брутфорс открывает все двери за пару-тройку сотен попыток, на что уйдет менее секунды.
Уязвимые версии собраны с использованием функции memcmp из оптимизированной под SSE линуксовой glibc. Встроенная memcmp из gcc незатронута, как и memcmp из BSDшной libc.
В пересчете на реальные операционные системы, затронуты 64-битные Ubuntu версий 10.04, 10.10, 11.04, 11.10, и12.04, Fedora и OpenSUSE 12.1. Чисты Debian, Gentoo...
Полный текст
|
- Обход парольной защиты в линуксовых MySQL: уязвима... - dl 12.06.12 11:48 [1074]
|
|
|
подробно о проекте
Анализ криптографических сетевых...
