Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

Warp · 30-03-11 08:35:46

Поступило сообщение об успешном взломе сайтов MySQL.com и Sun.com, а также некоторых связанных с ними субпроектов. Примечательно, что проникновение было совершено через простейшую уязвимость в используемом на сайте web-приложении, позволившую осуществить подстановку SQL-кода из-за некорректной проверки одного из параметров, задействованного в формировании обращения к службе клиентских сервисов. По доступным в настоящий момент данным, взлом ограничился только доступом к СУБД. Пока нет никаких сведений, указывающих на то, что атакующим удалось получить доступ к серверу или web-движку.

Атакующие уже опубликовали в открытом доступе список всех обслуживаемых на взломанном сервере баз данных и перечень некоторых таблиц. В одной из таблиц содержался список пользователей и администраторов СУБД. Большинство паролей для пользователей в данном списке было представлено в виде DES-хэшей, что позволило атакующим достаточно оперативно подобрать значение некоторых простейших паролей. Кроме того, по словам совершивших атаку, удалось получить доступ к содержимому архива приватной переписки по электронной почте, таблицам с данными по сотрудникам и клиентам (с email и реквизитами), таблицам с результатами работы систем мониторинга, позволяющих определить подробности построения сети и т.п.

Совершившие взлом подчеркнули, что сайт MySQL.com работает под управлением Fedora Linux, Apache 2.2.15 и PHP 5.2.13 (устаревшая и не поддерживаемая ветка PHP) и поддерживает работу нескольких ключевых сервисов: загрузка общедоступных и промышленных сборок MySQL (MySQL Community и Enterprise), организация работы поддержки клиентов, обеспечение доставки обновлений, ресурсы по сертификации, консалтингу и обучению. Более того, некоторые из баз данных, к которым атакующим удалось получить доступ, используются для обеспечения другого крупного ресурса - сайта Sun.com.

Кроме того, в начале января в скрипте gpg.php на сайте mysql.com была найдена XSS-уязвимость, позволяющая осуществить атаку с использованием межсайтового скриптинга. Данная уязвимость до сих пор остается неисправленной.

www.opennet.ru/opennews/art.shtml?num=30043

Babusha · 30-03-11 14:21:05

MySQL не нужна, есть PostgreSQL

Svart Testare · 30-03-11 14:23:49

Babusha пишет:

MySQL не нужна, есть PostgreSQL

Кал и суперкал.

nixadmin · 30-03-11 14:54:04

А причём тут СУБД вообще? SQL-injection - это уязвимость скрипта, а не СУБД

Babusha пишет:

MySQL не нужна

MySQL нужна

Svart Testare пишет:

Кал и суперкал.

Какие Ваши предложения на замену этих СУБД?

Babusha · 30-03-11 14:58:08

nixadmin пишет:

Какие Ваши предложения на замену этих СУБД?

А ты что не догадываешься что фанатики макрасофта используют? Microsoft SQL Server

Mazzy · 30-03-11 14:59:38

nixadmin пишет:

Какие Ваши предложения на замену этих СУБД?

Microsoft SQL Server. Это же очевидно big_smile
Как правильно сказал nixadmin, вы не о том говорите вообще.

Добавлено спустя 02 мин 51 с:
З.Ы. Особенно доставляет вот это

Svart Testare · 30-03-11 15:33:27

Babusha пишет:

что фанатики макрасофта используют?

Вообще-то SQL Server используют крупные компании, но для вас это, конечно же, новость.

Mazzy пишет:

Особенно доставляет вот это

Всё как и есть. Сделать сайт на пару сотен пользователей можно и с MySQL, а для более размерных и сложных проектов не обойтись без взрослых СУБД.

MOP3E · 30-03-11 17:30:30

Интересно, почему нельзя было ограничить права пользователя внутри базы данных? Пишет скрипт в таблицу - и пускай только пишет. Или вообще пусть хранимую процедуру вызывает. Одну. Которая всё сама на сервере выполнит. Соответственно, доступ можно ограничить только одной этой процедурой. Или MySQL ничего подобного не поддерживает?

Отредактировано MOP3E (30-03-11 17:31:59)

nixadmin · 30-03-11 17:34:17

Svart Testare пишет:

Вообще-то SQL Server используют крупные компании, но для вас это, конечно же, новость.

не для всех задачь он подходит и работает только на одной платформе. Да и вообще, если коротко, то какие у него преимущества перед MySQL'ом и PostgreSQL'ом?

Mazzy · 30-03-11 17:38:00

nixadmin пишет:

не для всех задачь он подходит и работает только на одной платформе. Да и вообще, если коротко, то какие у него преимущества перед MySQL'ом и PostgreSQL'ом?

А вы почитайте, я там ссылочку выше давал big_smile

nixadmin · 30-03-11 17:50:50

MOP3E пишет:

Или MySQL ничего подобного не поддерживает?

Поддерживает.
dev.mysql.com/doc/refman/5.0/en/create-procedure.html

Добавлено спустя 17 мин 28 с:

Mazzy пишет:

А вы почитайте, я там ссылочку выше давал big_smile

Почитал - реклама... Не больше, не меньше...

Svart Testare пишет:

Сделать сайт на пару сотен пользователей можно и с MySQL, а для более размерных и сложных проектов не обойтись без взрослых СУБД.

Ага, вот, для примера, один маленький сайтик на мускуле, , 200 пользователей, не больше smile

Отредактировано nixadmin (30-03-11 18:12:13)

Svart Testare · 30-03-11 18:10:01

nixadmin пишет:

не для всех задачь он подходит и работает только на одной платформе.

Он подходит для абсолютно всех задач — и сложных и простых. Для игрушек даже есть SQL Server Express — для дома, для семьи, так сказать. А то, что на одной платформе — так это как раз и преимущество. Многоплатформенность всегда связана с уступками и компромиссами, а ещё и с дорогостоящей адаптацией.
www.microsoft.com/sqlserver/2008/en/us/ … mysql.aspx

nixadmin · 30-03-11 18:13:54

Svart Testare пишет:

Он подходит для абсолютно всех задач

а Джумлу, к примеру, можно использовать в связке с ним?

Svart Testare · 30-03-11 18:19:18

nixadmin пишет:

а Джумлу, к примеру, можно использовать в связке с ним?

Не знаю, нужно ставить WebMatrix и смотреть. Вечером скажу точнее.
www.microsoft.com/web/post/getting-star … -webmatrix

nixadmin · 30-03-11 18:20:20

Svart Testare пишет:

и сложных и простых

у меня дома есть виртуалка с жабер-сервером, несколькими транспортами и десятком юзеров.
Ей выделено 192 МБ оперативки, работает не используя своп.

Скажите, сколько памяти потребуется для подобной маленькой задачи, вздумай я использовать Win2008 + MS SQL Server? гиг? полтора?

Svart Testare · 30-03-11 18:24:25

nixadmin пишет:

Ей выделено 192 МБ оперативки, работает не используя своп.

nixadmin пишет:

вздумай я использовать Win2008 + MS SQL Server?

А зачем для такой маленькой задачи использовать SQL Server? Встроенного IIS Express и SQL Server Express хватит за глаза.

nixadmin · 30-03-11 18:24:35

Svart Testare пишет:

Не знаю, нужно ставить WebMatrix и смотреть. Вечером скажу точнее.
www.microsoft.com/web/post/getti … -webmatrix

Это видео? www.youtube.com/watch?v=5Rt1s7mHKPw
На 42-й секунде ВебМатрикс дает выбрать только MySQL (до конца не смотрел)

Добавлено спустя 01 мин 03 с:

Svart Testare пишет:

Встроенного IIS Express и SQL Server Express хватит за глаза.

ну а памяти то сколько надо выделить виртуалке?) точно не надо, хватит примерных цифр

Отредактировано nixadmin (30-03-11 18:26:05)

Svart Testare · 30-03-11 18:26:37

nixadmin пишет:

На 42-й секунде ВебМатрикс дает выбрать только MySQL (до конца не смотрел)

Ну может быть, значит только MySQL. Но изначально моё утверждение было

Svart Testare пишет:

Он подходит для абсолютно всех задач — и сложных и простых.

Именно задач. Но я нигде не утверждал, что он будет работать со всеми инструментами.

Добавлено спустя 46 с:

nixadmin пишет:

ну а памяти то сколько надо выделить виртуалке?) точно не надо, хватит примерных цифр

Ну откуда я знаю? Возьмите и попробуйте.

Добавлено спустя 06 мин 03 с:
Посмотрел сейчас матрикс — из всех представленных там искаропки CMSов, только одна Joomla не работает с SQL Server. Остальные — запросто (Drupal, Orchard, DotNetNuke, Umbraco). Так что Joomla отсталая.

nixadmin · 30-03-11 18:47:36

Svart Testare пишет:

Ну откуда я знаю? Возьмите и попробуйте.

зарегал Live ID и таки получил ссылку на триал Win 2008. Докачается - попробую, но наверное уже завтра.

Добавлено спустя 03 мин 04 с:

Svart Testare пишет:

Так что Joomla отсталая.

WordPress, емнип тоже с MS SQL не дружит.

Svart Testare · 30-03-11 19:04:52

nixadmin пишет:

WordPress, емнип тоже с MS SQL не дружит.

Да, но в матриксе в полном списке есть ещё штук 12 CMS smile

MOP3E · 30-03-11 19:18:16

nixadmin пишет:

а Джумлу, к примеру, можно использовать в связке с ним?

PHP прекрасно работает с MS SQL Server. Сам проверял. Но движок Джумлы заточен под MySQL, соответственно - использует специфические для MySQL команды. Поэтому перевести Джумлу на MS SQL Server можно - но придётся переделывать взаимодействие движка с базой данных. Ну и ещё нужно найти провайдера, который будет одновременно предоставлять услуги MS SQL Server и PHP.

Отредактировано MOP3E (30-03-11 19:19:41)

Maddoc · 31-03-11 09:55:44

nixadmin пишет:

для примера, один маленький сайтик на мускуле

Архитектура Facebook пишет:

MySQL — используется как хранилище пар ключ-значение, никаких join'ов

Так и Excel умеет, не?

IvanOFF · 02-04-11 01:20:30

А причем здесь MySQL? Если скрипт не фильтрует ввод, то поиметь можно абсолютно любую БД. А против самой MySQL ничего против не имею, де факто стандарт для веб-сайтов на unix хостинге. Со своими обязанностями справляется, при это весьма нетребовательна к ресурсам, проста в понимании и администрировании - что еще надо?

Алька · 02-04-11 01:33:49

MOP3E пишет:

Ну и ещё нужно найти провайдера, который будет одновременно предоставлять услуги MS SQL Server и PHP.

почти любой, что хостинг на IIS даёт

MOP3E · 02-04-11 08:34:23

Алька пишет:

почти любой, что хостинг на IIS даёт

Значит, с этим проблем нет. Так что - за работу! Переделывать Джумлу под MS SQL. smile

Форум StopLinux

Объявление

#1 30-03-11 08:35:46

Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#2 30-03-11 14:21:05

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#3 30-03-11 14:23:49

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#4 30-03-11 14:54:04

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#5 30-03-11 14:58:08

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#6 30-03-11 14:59:38

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#7 30-03-11 15:33:27

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#8 30-03-11 17:30:30

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#9 30-03-11 17:34:17

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#10 30-03-11 17:38:00

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#11 30-03-11 17:50:50

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#12 30-03-11 18:10:01

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#13 30-03-11 18:13:54

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#14 30-03-11 18:19:18

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#15 30-03-11 18:20:20

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#16 30-03-11 18:24:25

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#17 30-03-11 18:24:35

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#18 30-03-11 18:26:37

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#19 30-03-11 18:47:36

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#20 30-03-11 19:04:52

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#21 30-03-11 19:18:16

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#22 31-03-11 09:55:44

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#23 02-04-11 01:20:30

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#24 02-04-11 01:33:49

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#25 02-04-11 08:34:23

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

Подвал форума