The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Получение контроля за MySQL-сервером позволяет получить лока..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от opennews (ok), 21-Янв-19, 21:42 
Исследователь безопасности Willem de Groot обратил внимание на недоработку (https://twitter.com/gwillem/status/1086275952915533828), напоминающую недавно выявленную (https://www.opennet.ru/opennews/art.shtml?num=49953) уязвимость в реализацией SCP. Подконтрольный злоумышленнику сервер MySQL
может (https://gwillem.gitlab.io/2019/01/17/adminer-4.6.2-file-disc.../) получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды "LOAD DATA LOCAL (https://dev.mysql.com/doc/refman/8.0/en/load-data-local.html)" файлов, сервер может загрузить произвольные файлы, например, SSH-ключи или параметры криптокошельков пользователя.


Как и в случае SCP проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотеке лишь выполняет переданную сервером команду без проверки соответствия исходному запросу. Подразумевается, что имя файла указанное в отправленной пользователем конструкции "LOAD DATA...LOCAL" совпадает с именем файла,  указанным в  запросе сервера. В случае если MySQL сервер контролируется злоумышленником, он может быть модифицирован (https://github.com/Gifts/Rogue-MySql-Server) для запроса произвольных файлов.  


Поддержка LOAD DATA...LOCAL" на стороне клиента регулируются сборочной опций "ENABLED_LOCAL_INFILE" и параметром  MYSQL_OPT_LOCAL_INFILE в mysql_options(). В ветке MySQL 8.0 данный режим был отключён (https://github.com/mysql/mysql-server/commit/98ed3d8bc8ad724...) по умолчанию, но остаётся включён (https://dev.mysql.com/doc/refman/5.7/en/load-data-local.html) в ветках 5.5, 5.6 и 5.7.


URL: https://www.reddit.com/r/programming/comments/ahspfv/mysql_c.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50001

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Получение контроля за MySQL-сервером позволяет получить лока..."  +7 +/
Сообщение от Ivan_83 (ok), 21-Янв-19, 21:42 
"Проблеме" уже много лет, 5 точно есть, это не новость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Получение контроля за MySQL-сервером позволяет получить лока..."  –2 +/
Сообщение от пох (?), 21-Янв-19, 21:45 
не, ты не понял - это обратная той пятилетней давности новость, идея та же что у scp - тогда загружался (или портился) файл на сервере по кривой команде клиента, а тут _сервер_, ВНЕЗАПНО, оверрайдит .profile - _тебе_.

прикольна, чо. Особенно учитывая набор невыясненных дырок во всех ныне доступных в дистрибутивах версиях и вчера-вышедшую 25 с неведомым набором исправлений, которой еще нигде нет.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Аноним (17), 23-Янв-19, 08:57 
чукча, man почитай - load local передает файл на сервер
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Xasd (ok), 21-Янв-19, 22:11 
в pacman похожая хрень при скачивании пакетов -- ну не прям такая же -- но суть в том что сервер говорит как называется пакет, независимо от того что просит сам pacman-клиент

прям совсем любой файл это НЕ позволяет перезаписать -- но всё равно не очень приятно.

(давно заметил, багрепорт не писал -- так как очень сильной опасности не-видел-и-не-вижу)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Получение контроля за MySQL-сервером позволяет получить лока..."  +9 +/
Сообщение от Аноним (4), 21-Янв-19, 23:32 
Я тебе страшную вещь скажу: контролируя репозиторий, можно добиться перезаписи любого файла в системе или выполнения произвольного кода при установке/удалении/обновлении пакета. С любым пакетным менеджером.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Анонимчжан (?), 22-Янв-19, 00:26 
более страшную новость скажу. они это и делают)) ага.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Получение контроля за MySQL-сервером позволяет получить лока..."  +1 +/
Сообщение от Xasd5 (?), 22-Янв-19, 23:39 
> контролируя репозиторий, можно добиться перезаписи любого файла в системе или выполнения

а контролируя ЗЕРКАЛО в репощитория?

или контролируя интернет-провайдера?

я же блин, говорю о том что хрень происходит прям с серверной стороны.. а кто там находится по ту сторону (серверную) -- уж точно не обязательно мэйнтейнеры пакетов.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Аноним (19), 24-Янв-19, 06:46 
> или контролируя интернет-провайдера?

Там чо, файлы по открытому каналу летают? :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Xasd (ok), 25-Янв-19, 01:18 
> Там чо, файлы по открытому каналу летают?

да!

потом конечно цифровая подпись проверяется (gnupg) .. но это уже когда они на в файловой системе оказались

>  :)

ничего смешного кстати.. это вам не https-какой-нибудь-там

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

6. "Получение контроля за MySQL-сервером позволяет получить лока..."  +2 +/
Сообщение от Аноним (6), 22-Янв-19, 00:38 
А как с этим у MariaDB?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Аноним (7), 22-Янв-19, 04:12 
Присоединяюсь к вопросу.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Получение контроля за MySQL-сервером позволяет получить лока..."  –2 +/
Сообщение от анон (?), 22-Янв-19, 08:22 
ничё, что на стороне клиента прикол?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Получение контроля за MySQL-сервером позволяет получить лока..."  +1 +/
Сообщение от ig0r (??), 22-Янв-19, 11:49 
А ничего что mariadb это не только сервер но и клиент?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Получение контроля за MySQL-сервером позволяет получить лока..."  –1 +/
Сообщение от нах (?), 22-Янв-19, 11:57 
> А как с этим у MariaDB?

а как с "этим" может быть у копипастеров? Так же, как и в том, что скопипастили, очевидно.

Ничего, щас распотрошат дифы от последней оракловой версии, и радостно отрапортуют, что и как исправили. Или нет.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Получение контроля за MySQL-сервером позволяет получить лока..."  +1 +/
Сообщение от Аноним (11), 22-Янв-19, 12:32 
Копипастер это автор оригинальной MySQL?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Получение контроля за MySQL-сервером позволяет получить лока..."  –1 +/
Сообщение от нах (?), 22-Янв-19, 12:56 
там был сильно не один автор, и maria ни разу не форк с определенной точки где "пришел злой орацл и все испортил". Поэтому таки да, копипаста, с добавлением там и тут своих деталек - неужели ты думаешь, что он будет переписывать клиентлибу с нуля или возвращаться к версии 2005го года и допиливать ее под современный сервер?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Аноним (14), 22-Янв-19, 15:52 
вы все путаете - пришел злой Sun (именно тогда был сделан Мари-дб а не когда Oracle пришел).
тогда дядя пытался только отжать MySQL (TM), но не вышло.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Аноним (4), 23-Янв-19, 02:22 
Вроде бы именно клиентлибу переписали полностью, дабы сменить лицензию на более кошерную с их точки зрения.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от нах (?), 23-Янв-19, 14:31 
ну типа оракл открыл исходник - проверяйте, чо...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

13. "Получение контроля за MySQL-сервером позволяет получить лока..."  +/
Сообщение от Аноним (14), 22-Янв-19, 15:51 
Это который просил / требовал передавать права на патчи Вендиусу великому.. дабы он мог продать воздух.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру