Mysql Sicherheitslücke
- Thread starter Neogreen
- Start date
tomasini
New Member
Das Changelog sagt das:
http://changelogs.ubuntu.com/change...5/mysql-5.5_5.5.28-0ubuntu0.12.04.2/changelog
Und für mich liest sich das so, als gab es bisher noch kein Security-Update zu den aktuellen Exploits.
http://changelogs.ubuntu.com/change...5/mysql-5.5_5.5.28-0ubuntu0.12.04.2/changelog
Und für mich liest sich das so, als gab es bisher noch kein Security-Update zu den aktuellen Exploits.
Hallo!
Nicht für alle Bugs. Siehe https://serversupportforum.de/threads/hacker-veröffentlicht-exploits-für-mysql-und-ssh.49859/ sowie CVE-2012-5612, CVE-2012-5614 und CVE-2012-5615.
mfG
Thorsten
Nicht für alle Bugs. Siehe https://serversupportforum.de/threads/hacker-veröffentlicht-exploits-für-mysql-und-ssh.49859/ sowie CVE-2012-5612, CVE-2012-5614 und CVE-2012-5615.
mfG
Thorsten
Joe User
Zentrum der Macht
Die Patches kommen vermutlich frühestens zum nächsten Oracle Patchday:
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
Freakshow1000
New Member
Sry aber was die da abziehen finde ich lächerlich!
Es besteht eine Sicherheitslücke und die warten noch bis 2013? Oder verstehe ich das jetzt falsch?
Es besteht eine Sicherheitslücke und die warten noch bis 2013? Oder verstehe ich das jetzt falsch?
Joe User
Zentrum der Macht
Es bestehen mehrere Sicherheitsprobleme und das Releasen von Fixes zu festen Patchdays ist mitlerweile Branchenstandard, auch im Open-Source-Bereich.
BTW: Dich hindert Niemand daran, die Lücken auf Deinen Systemen selbst zu fixen, bis ein offizielles Update bereitsteht.
BTW: Dich hindert Niemand daran, die Lücken auf Deinen Systemen selbst zu fixen, bis ein offizielles Update bereitsteht.
Freakshow1000
New Member
Gibt es den zu allen Lücken eine Patchmöglichkeit?
D
Deleted member 11740
Guest
Als ob...
Selbst ein guter Programmierer müsste sich erst einarbeiten um zu verhindern, dass durch das Bugfixing neue Bugs entstehen, die weitreichend Konsequenzen haben könnten. Fängt beim Datenverlust der DB an und hört bei neuen Exploits auf.
Selbst ein guter Programmierer müsste sich erst einarbeiten um zu verhindern, dass durch das Bugfixing neue Bugs entstehen, die weitreichend Konsequenzen haben könnten. Fängt beim Datenverlust der DB an und hört bei neuen Exploits auf.
Jede vernünftige Firma sollte es hin bekommen, kritische Bugs innerhalb kurzer Zeit zu beheben und Bugfixes zu verteilen.
Joe User
Zentrum der Macht
Vielleicht bekommen zahlende Kunden ja bereits die Bugfixe?
Ich zahle nicht und sorge deshalb für eigene temporäre Problemlösungen.
Desweiteren wird Niemand gezwungen MySQL zu verwenden, es gibt schliesslich genug Alternativen.
Beim Linux-Kernel und nahezu jedem anderen Open-Source-Projekt wartet man auch bis zum nächsten Patchday aka Release auf Bugfixe, nur regt sich dort Niemand drüber auf. YGWYPF!
Ich zahle nicht und sorge deshalb für eigene temporäre Problemlösungen.
Desweiteren wird Niemand gezwungen MySQL zu verwenden, es gibt schliesslich genug Alternativen.
Beim Linux-Kernel und nahezu jedem anderen Open-Source-Projekt wartet man auch bis zum nächsten Patchday aka Release auf Bugfixe, nur regt sich dort Niemand drüber auf. YGWYPF!
B
blupp1
Guest
Genau, und Microsoft veröffentlicht seine kritischen Patches auch immer nur am Patchday........ und wenn nicht, soll man das selber beheben und kompilieren. Alles klar!
d4f
Kaffee? Wo?
Falls man auf MariaDB 5.1 oder 5.3 setzt ist das einzige ausstehende Sicherheitsproblem die remote user enumeration.
Allerdings sollte selbst das Erraten eines Benutzernamen kein grösseres Sicherheitsloch darstellen.
Ich bin mir allerdings nicht sicher ob das auch für Mysql gilt. Laut Debian gilt CVE-2012-5615 für Mysql 5.1, MariaDB listet es aber erst ab Maria 5.5
=> http://openquery.com/blog/mariadb-security-updates
Allerdings sollte selbst das Erraten eines Benutzernamen kein grösseres Sicherheitsloch darstellen.
Ich bin mir allerdings nicht sicher ob das auch für Mysql gilt. Laut Debian gilt CVE-2012-5615 für Mysql 5.1, MariaDB listet es aber erst ab Maria 5.5
=> http://openquery.com/blog/mariadb-security-updates
Du hast einen Branchenstandard in's Gespräch gebracht und ich verstehe nicht, warum Du Dich berufen fühlst, einen schlechten Branchenstandart zu verteidigen. Kritische Sicherheitslücken gehören umgehend gefixt und nicht in (frühstens) einem Monat (Windows) oder im nächsten Quartal (Oracle Java: kritisches Sicherheitsloch...sollen daher erst zum nächsten planmäßigen Java-Patchday am 19. Februar 2013 geschlossen werden).
Bei kritischen Bugs und Sicherheitslücken entspricht das nicht meiner Erfahrung.
Joe User
Zentrum der Macht
Ich habe ihn nicht verteidigt, sondern lediglich auf ihn hingewiesen. Und nur weil ich auf etwas hinweise, heisst es noch lange nicht, dass ich es gut finde. Aber ich bin erwachsen genug, um solche Dinge zu akzeptieren und die für mich daraus resultierenden Folgen zu überblicken und entsprechend zu händeln. Jammern und Bocken wie ein Kleinkind bringt da nix...