今朝、コンピューターの電源を入れると、seclists で衝撃的なスレッドを見つけました: http://seclists.org/oss-sec/2012/q2/493MySQL には、5.1 から 5.5 までのほぼすべてのバージョンに影響する重大なセキュリティ脆弱性があります。問題となるモジュールは、ログイン時のパスワード認証部分(password.c)です。ユーザー名(rootなど)が分かっている場合は、単純に何度も再試行(平均約256回)するだけでログインできます。ただし、MySQL 認証では、ユーザー名、IP、パスワードの 3 組が使用されます。クライアントの IP が mysql.user テーブルに見つからない場合、ログインできません。 このバグは実は 4 月にはすでに発見されていました。今年 5 月 7 日に MySQL 5.5.24 がリリースされたときに、このバグは修正されました。 脆弱性分析: 問題のあるコードは次のとおりです
memcmp の戻り値は実際には int であり、my_bool は実際には char です。その後、int を char に変換すると、切り捨てが発生する可能性があります。例えば、memcmp は 0×200 を返しますが、これは切り捨て後に 0 になり、check_scramble 関数の呼び出し元は「パスワードは正しい」と誤って認識します。 しかし、一般的に言えば、memcmpの戻り値は[127,-128]の範囲内です。 glibc の SSE 最適化コードの場合はそうではありません。したがって、このバグは特定のコンパイル環境でのみ発生します。つまり、MySQL がコンパイルされ、-fno-builtin が追加され、使用される glibc が SSE 最適化されている場合です (通常、システム独自の glibc の場合)。ここで言及されている glibc は Linux の glibc を指します。FreeBSD の libc は影響を受けません。 一般的に、このバグは非常に深刻です。MySQL でこのようなバグが最後に発生したのは、3.23/4.0 時代でした。 オリジナルリンク: http://www.udpwork.com/redirect/7463 元のタイトル: MySQL 認証の脆弱性は 5.5.24 にアップグレードすると修正される可能性があります キーワード: MySQL、アイデンティティ、認証、脆弱性、アップグレード、5.5.24、修正可能、私は今、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、お金を稼ぐ |
<<: ポジショニング、製品、マーケティングは、Web サイト運営者が無視できない 3 つの要素です。
Zenlayerは日本に自社データセンターを構えており、日本独立サーバーに従来回線を標準で提供するほ...
みなさんこんにちは。私はHongtu Internetです。ウェブサイトのテーマの決定と比較すると、...
poweruphosting についてご紹介します。2006 年にロサンゼルスで設立され、現在は主に...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています8月8日、...
仮想マシンとコンテナは、抽象化の最も一般的な形式の 2 つですが、この 2 つの違いは何でしょうか?...
今日、Baiduで「上海SEO」というキーワードを検索したところ、4ページ目にウェブサイトが見つかり...
なぜサーバー ウェブサイト セキュリティ トレーニングに参加する必要があるのでしょうか? 最新の統計...
カナダの老舗ホスティングプロバイダーである Vexxhost は、主にカナダで仮想ホスティングと V...
ユーザーがキーワードを検索するときに最初に比較するのは、Web サイトのタイトルです。ユーザーはタイ...
Hostus のクリスマス プロモーションには、特に目新しいものはなく、同じモデルがいくつかあるだけ...
歴史を学んだ友人は、1978年以来、中国が改革開放政策を実施し、中国が徐々に世界に向かって進み、最終...
サンクトペテルブルクはロシアで 2 番目に大きな都市です。Justhost はサンクトペテルブルクの...
ウェブサイトの最適化は、オンサイト最適化とオフサイト最適化に分けられます。オフサイト最適化は、外部リ...
ビジネスを始めるにしても、ウェブサイトを構築するにしても、私たちの先人たちが与えてくれたアドバイスは...
Chenchen はこれまでいくつかのフォーラムを管理してきましたが、最近、私たちの郡のフォーラムと...