The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в mod-auth-mysql и GStreamer

26.01.2009 13:44

В mod-auth-mysql, модуле аутентификации в MySQL для http-сервера Apache 2, обнаружена возможность подстановки злоумышленником SQL кода, из-за отсутствия надлежащей проверки экранированных символов при использовании многобайтовых кодировок, перед использованием этих символов в SQL запросе.

Вторая уязвимость присутствует в QuickTime плагине из "good" набора кодеков аудиосервера GStreamer. При обработке специально созданного мультимедиа файла злоумышленник может организовать выполнение своего кода в системе. Уязвимость может быть использована в программах, использующих при своей работе GStreamer, например, Songbird, Totem, Amarok и т.п. Проблема исправлена в наборе gst-plugins-good версии 0.10.12.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/19948-security
Ключевые слова: security, GStreamer
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, parad (ok), 15:19, 26/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В mod-auth-mysql, модуле аутентификации в MySQL для http-сервера Apache 2, обнаружена возможность подстановки злоумышленником SQL кода, из-за отсутствия надлежащей проверки экранированных символов, при использовании многобайтовых кодировок, перед их использованием в SQL запросе.

    Вот этот набор слов можно заменить на два - скуль енжекшн.

     
  • 1.2, geekkoo (ok), 16:19, 26/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, скоро эти понятия будут нерасторжимы - мы говорим SQL, подразумеваем injection !
     
     
  • 2.3, Щекн Итрч (ok), 16:51, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Проверяйте ввод.
    Регилия не позволяет?
     
     
  • 3.4, geekkoo (ok), 17:33, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Проверяйте ввод.
    >Регилия не позволяет?

    Ушел в рекурсию на час ...

     
  • 3.6, User294 (??), 19:36, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А что такое "Регилия"?
    ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет и кой-какую цену ;)
     
     
  • 4.7, parad (ok), 19:45, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А что такое "Регилия"?
    >ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет
    >и кой-какую цену ;)

    ты сам понял какой бред сказал?

     
  • 4.8, Щекн Итрч (ok), 21:20, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то sql injection "подвержены" исключительно веб-приложения.
    От скриптовых языков/фреймворков, до модулей апача.
    Помните об этом.

    И примерно миллион ссылок на Postgres, помимо этой.

    For the first time I have been in a position to realize that a machine was attacked from an outside source in a production enviroment. A web server running Apache 2 and PostgreSQL was successfully attacked using a SQL injection vulnerability. I first noticed there was a new table in one of our PostgreSQL databases named 't_jiaozhu'.

    http://www.rsreese.com/2007/03/sql-injection-attack-on-postgresql.html

    # grep t_jiaozhu *fred-access_log:219.153.131.99 - - [25/Mar/2007:11:59:32 -0400] "HEAD /showemploymentopportunity.php?id=38;create%20table%20t_jiaozhu(jiaozhu%20varchar(200)) HTTP/1.1" 200 - "-" "Mozilla/3.0 (compatible; Indy Library)"

     

  • 1.5, parad (ok), 19:02, 26/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хз как в мускуле постгря своей апи позволяет надежное защитится от таких неприятностей:
    prepare ('select * from func(?,?)');
    execute (param1, param2);
    и никаких проверок не надо, - не подойдет формат поля - екзекуте вернет ошибку, и где надо все заэкранирует! ))
     
     
  • 2.9, Щекн Итрч (ok), 21:22, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, sql injection атакует веб-сервисы.
    А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер пробил через подверженный уязвимости веб-сервис :)
     
     
  • 3.10, geekkoo (ok), 22:10, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вообще-то, sql injection атакует веб-сервисы.
    >А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер
    >пробил через подверженный уязвимости веб-сервис :)

    Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.

    Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?

     
     
  • 4.11, none (??), 22:54, 26/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.

    предложите модель реализации, к примеру, форума, где данная проблема будет решена.


    >Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?

    что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?

     
     
  • 5.12, geekkoo (ok), 00:11, 27/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.
    >
    >предложите модель реализации, к примеру, форума, где данная проблема будет решена.
    >

    Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю в руки выдается полноценный шелл (а SQL - это уже полноценный язык), а потом, когда этот пользователь начинает крушить сервер в мелкую щебенку, начинаются крики - что ж мы наделали и начинаются попытки по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать?
    >
    >>Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?
    >
    >что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?

    Все тоже самое, только без SQL-я. Недавно же была новость - http://www.opennet.ru/openforum/vsluhforumID3/48432.html , только никто на неё внимание не обратил ...

     
     
  • 6.14, parad (ok), 02:38, 27/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ля, мужики, вы прежде чем писать выучите хоть одну БД. действительно тяжело слушать этот бред. серьездно!..
     
  • 6.15, none (??), 07:13, 27/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю
    >в руки выдается полноценный шелл (а SQL - это уже полноценный
    >язык), а потом, когда этот пользователь начинает крушить сервер в мелкую
    >щебенку, начинаются крики - что ж мы наделали и начинаются попытки
    >по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать?

    абсурд вы несете. точно так же можно утверждать: зачем хранить картинки, хтмл-ки, музыку и видео под одним аккаунтам, злоумышлиник получив доступ, может потереть все...


    >>что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?
    >
    >Все тоже самое, только без SQL-я. Недавно же была новость - http://www.opennet.ru/openforum/vsluhforumID3/48432.html
    >, только никто на неё внимание не обратил ...

    ага, Вы не осилили sql и хотите от него убежать :)
    с помощью "ключ-значение" от проблемы описаной вами выше вы не уйдете и не все данные описываются так просто: ключ-значение.

     
  • 3.13, parad (ok), 02:26, 27/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты понял что я написал! - это раз.
    Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)") дохрена.
    Три: еще раз прочитай что я написал про универсальный механизм защиты и сравни с "два".
    Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты особо не в теме.
     
     
  • 4.17, noname (??), 09:59, 27/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты
    >понял что я написал! - это раз.
    >Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)")
    >дохрена.
    >Три: еще раз прочитай что я написал про универсальный механизм защиты и
    >сравни с "два".
    >Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты
    >особо не в теме.

    Да, знакомо ... Стройная система костылей и подпорок ... Прицепим сбоку необязательную статическую типизацию и будем продолжать жрать кактус ...

     
  • 4.19, Щекн Итрч (ok), 20:04, 27/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты
    >понял что я написал! - это раз.
    >Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)")
    >дохрена.
    >Три: еще раз прочитай что я написал про универсальный механизм защиты и
    >сравни с "два".
    >Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты
    >особо не в теме.

    Ощущение, будто бы вы не совсем адекватны? Все хорошо со здоровьем?

     
     
  • 5.20, parad (ok), 23:37, 27/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    да, есть немного: сказывается хронический недосып и переработка...
    но это никак не сглаживает ту ахинею что ты выше сказал!
     
     
  • 6.21, Щекн Итрч (ok), 00:27, 28/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >да, есть немного: сказывается хронический недосып и переработка...
    >но это никак не сглаживает ту ахинею что ты выше сказал!

    Ну, сбрехнул в полемическом задоре, признаЮ.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру