- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Я думаю что любой провайдер проковыряет в своем файрволе 1 правило для работы вашего SQL если это вам действительно надо.....
Можете передать этому самому провайдеру. открывшему фаерволл, чудесную новость - http://habrahabr.ru/post/145641/ а также следом поздравление со взломом итд итп :)
Можете передать этому самому провайдеру. открывшему фаерволл, чудесную новость - http://habrahabr.ru/post/145641/ а также следом поздравление со взломом итд итп :)
Из того что я понял, действительно смешная уязвимость, проверил свои сервера, ничего подобного не происходит, но у меня и не Debian Как описано по ссылке, причем не ясно как данная уязвимость касается именно удаленного подключения, что в таком случае мешает обычному single пользователю на сервере запускать тот же предложенный в ссылке сценарий подключаясь на 127.0.0.1... ??? Или вы уже всех на сокет перевели? Беда в функции mysql которая не верно int в char переводит и обратно, после проверки хешей.... это локальная уязвимость, тут не важно откуда вы идете то ли удаленно то ли локально. Или я не прав?
CentOS release 5.8 (Final)
Server version: 5.1.61
Linux xxxxx.onyx.net.ua 2.6.18-308.8.1.el5 #1 SMP Tue May 29 14:57:25 EDT 2012 x86_64 x86_64 x86_64 GNU/Linux
Тоже неспешно подыскиваю такой хостинг. Только цель совсем другая — в базу должны будут литься обновления приложением на другом хосте. И наверное, придётся смотреть абузоустойчивый.
Или я не прав?
Не надо ничего заказывать (иметь доступ к аккаунту) у хостера, чтобы получить рута.
Из того что я понял, действительно смешная уязвимость, проверил свои сервера, ничего подобного не происходит, но у меня и не Debian Как описано по ссылке
На RHEL и им подобных (кроме Fedora) не воспроизводится, видимо в них уязвимости нет.
Не надо ничего заказывать (иметь доступ к аккаунту) у хостера, чтобы получить рута.
Я понимаю, но в уязвимой системе не имеет смысла, какая разница купил я у хостера аккаунт за 1 бакс и зашел рутом в SQL или я не покупал аккаунт и зашел удаленно? Если система уязвима, она уже как бы не совсем система, по этому я не вижу скажем так проблемы именно в удаленном подключении.... если локально сломать можно то разница то...... ))))
---------- Добавлено 18.06.2012 в 13:18 ----------
На RHEL и им подобных (кроме Fedora) не воспроизводится, видимо в них уязвимости нет.
Я читал, и мало того, выше написал что CentOS вроде как не уязвим :)
какая разница купил я у хостера аккаунт за 1 бакс и зашел рутом в SQL или я не покупал аккаунт и зашел удаленно?
У вас всего один сервер на котором вы размещаете все заказы клиентов? :) ну тогда у вас всё ещё впереди....
У вас всего один сервер на котором вы размещаете все заказы клиентов? :) ну тогда у вас всё ещё впереди....
Троллинг? Во первых , с чего вы взяли что у меня 1 сервер, а во вторых : причем это к тому, что я написал (а вы цитируете)? Тема касается "MySQL с открытым доступом", если сам по себе MySQL имеет такой баг на определенных системах, то совершенно не важно будет ли там открыт или закрыт MySQL на вне, если это хостинг сервер, там клиент его локально проломает... к теме как бы не относится данная уязвимость, а уж тем более как её предоставил Pavel.Odintsov O_o
Троллинг? Во первых , с чего вы взяли что у меня 1 сервер, а во вторых : причем это к тому, что я написал (а вы цитируете)?
Злоумышленнику необходим доступ к серверу (базе данных) интересующего сайта.
Злоумышленник не клиент хостера.
А клиент с очень интересной базой данных находится на своём выделенном сервере и он не CCЗБ чтобы ломать свой собственный сервер.
Во-первых, как за 1 бакс попасть на этот сервер? пусть даже это шаред-хостинг, но это сервер на котором нормальные клиенты и хостер уже не размещает на них заказы и тарифы начинаются от 6 долларов? 🍿
Во-вторых, это и есть ответ на вопрос: важен ли открытый фаерволл на уязвимой системе или нет. У вас априори виноват клиент, взломавший систему изнутри. Ответ самый простой - кто быстрее будет эксплуатировать уязвимость - нормальный клиент на хостинге или злоумышленник извне?
в-третьих, во всём мире куча виртуальных серверов, на которых один хозяин. Хостер по дефолту на всех шаблонах виртуальных серверов "проковырял дырочку" чтобы клиентам было удобно ходить на mysql. Хостер в этом случае сделал добро и ему надо за это сказать спасибо и дать 1 бакс?
Злоумышленнику необходим доступ к серверу (базе данных) интересующего сайта.
Злоумышленник не клиент хостера.
А клиент с очень интересной базой данных находится на своём выделенном сервере и он не CCЗБ чтобы ломать свой собственный сервер.
Во-первых, как за 1 бакс попасть на этот сервер? пусть даже это шаред-хостинг, но это сервер на котором нормальные клиенты и хостер уже не размещает на них заказы и тарифы начинаются от 6 долларов? 🍿
Во-вторых, это и есть ответ на вопрос: важен ли открытый фаерволл на уязвимой системе или нет. У вас априори виноват клиент, взломавший систему изнутри. Ответ самый простой - кто быстрее будет эксплуатировать уязвимость - нормальный клиент на хостинге или злоумышленник извне?
в-третьих, во всём мире куча виртуальных серверов, на которых один хозяин. Хостер по дефолту на всех шаблонах виртуальных серверов "проковырял дырочку" чтобы клиентам было удобно ходить на mysql. Хостер в этом случае сделал добро и ему надо за это сказать спасибо и дать 1 бакс?
Да прекратите, у любого хостера на любом из его серверов найдется тот и наверняка уже нашелся кто прочел и решил попробовать..... вот за это мне рассказывать не надо )))) только появляется уязвимость, тут же появляется в хомяках какой-то експлоид...... Это у вас судя по всему 1 сервер так как вы не замечаете этого ..... А уязвимость по прежнему не обосновано привязана к удаленному подключению и данной теме..... читайте внимательно.... Даже допускайте что у вас есть сервер , куда вы уже не сажаете клиентов (допустим), ну так посадите на другой.... не за 1$ а за 10$ это что стоимость взлома? Я и 100$ вам заплачу за хостинг если буду идти с полной уверенностью вынести потом всю вашу клиентскую базу. По этому разницы нет, если у хостера стоит SQL который уязвим к этой дырке - его надо выключать и патчить ... в противном случае совершенно не важно кто к вам придет, вас сломают ваши же клиенты с этого же сервера.....