Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

Warp · 30-03-11 09:35:46

Поступило сообщение об успешном взломе сайтов MySQL.com и Sun.com, а также некоторых связанных с ними субпроектов. Примечательно, что проникновение было совершено через простейшую уязвимость в используемом на сайте web-приложении, позволившую осуществить подстановку SQL-кода из-за некорректной проверки одного из параметров, задействованного в формировании обращения к службе клиентских сервисов. По доступным в настоящий момент данным, взлом ограничился только доступом к СУБД. Пока нет никаких сведений, указывающих на то, что атакующим удалось получить доступ к серверу или web-движку.

Атакующие уже опубликовали в открытом доступе список всех обслуживаемых на взломанном сервере баз данных и перечень некоторых таблиц. В одной из таблиц содержался список пользователей и администраторов СУБД. Большинство паролей для пользователей в данном списке было представлено в виде DES-хэшей, что позволило атакующим достаточно оперативно подобрать значение некоторых простейших паролей. Кроме того, по словам совершивших атаку, удалось получить доступ к содержимому архива приватной переписки по электронной почте, таблицам с данными по сотрудникам и клиентам (с email и реквизитами), таблицам с результатами работы систем мониторинга, позволяющих определить подробности построения сети и т.п.

Совершившие взлом подчеркнули, что сайт MySQL.com работает под управлением Fedora Linux, Apache 2.2.15 и PHP 5.2.13 (устаревшая и не поддерживаемая ветка PHP) и поддерживает работу нескольких ключевых сервисов: загрузка общедоступных и промышленных сборок MySQL (MySQL Community и Enterprise), организация работы поддержки клиентов, обеспечение доставки обновлений, ресурсы по сертификации, консалтингу и обучению. Более того, некоторые из баз данных, к которым атакующим удалось получить доступ, используются для обеспечения другого крупного ресурса - сайта Sun.com.

Кроме того, в начале января в скрипте gpg.php на сайте mysql.com была найдена XSS-уязвимость, позволяющая осуществить атаку с использованием межсайтового скриптинга. Данная уязвимость до сих пор остается неисправленной.

https://www.opennet.ru/opennews/art.shtml?num=30043

Babusha · 30-03-11 15:21:05

MySQL не нужна, есть PostgreSQL

nixadmin · 30-03-11 15:54:04

А причём тут СУБД вообще? SQL-injection - это уязвимость скрипта, а не СУБД

Babusha пишет:

MySQL не нужна

MySQL нужна

Svart Testare пишет:

Кал и суперкал.

Какие Ваши предложения на замену этих СУБД?

Babusha · 30-03-11 15:58:08

nixadmin пишет:

Какие Ваши предложения на замену этих СУБД?

А ты что не догадываешься что фанатики макрасофта используют? Microsoft SQL Server

Mazzy · 30-03-11 15:59:38

nixadmin пишет:

Какие Ваши предложения на замену этих СУБД?

Microsoft SQL Server. Это же очевидно big_smile
Как правильно сказал nixadmin, вы не о том говорите вообще.

Добавлено спустя 02 мин 51 с:
З.Ы. Особенно доставляет вот это

nixadmin · 30-03-11 18:34:17

Svart Testare пишет:

Вообще-то SQL Server используют крупные компании, но для вас это, конечно же, новость.

не для всех задачь он подходит и работает только на одной платформе. Да и вообще, если коротко, то какие у него преимущества перед MySQL'ом и PostgreSQL'ом?

Mazzy · 30-03-11 18:38:00

nixadmin пишет:

не для всех задачь он подходит и работает только на одной платформе. Да и вообще, если коротко, то какие у него преимущества перед MySQL'ом и PostgreSQL'ом?

А вы почитайте, я там ссылочку выше давал big_smile

nixadmin · 30-03-11 18:50:50

MOP3E пишет:

Или MySQL ничего подобного не поддерживает?

Поддерживает.
https://dev.mysql.com/doc/refman/5.0/en/ … edure.html

Добавлено спустя 17 мин 28 с:

Mazzy пишет:

А вы почитайте, я там ссылочку выше давал big_smile

Почитал - реклама... Не больше, не меньше...

Svart Testare пишет:

Сделать сайт на пару сотен пользователей можно и с MySQL, а для более размерных и сложных проектов не обойтись без взрослых СУБД.

Ага, вот, для примера, один маленький сайтик на мускуле, , 200 пользователей, не больше smile

Редактировался nixadmin (30-03-11 19:12:13)

nixadmin · 30-03-11 19:13:54

Svart Testare пишет:

Он подходит для абсолютно всех задач

а Джумлу, к примеру, можно использовать в связке с ним?

nixadmin · 30-03-11 19:20:20

Svart Testare пишет:

и сложных и простых

у меня дома есть виртуалка с жабер-сервером, несколькими транспортами и десятком юзеров.
Ей выделено 192 МБ оперативки, работает не используя своп.

Скажите, сколько памяти потребуется для подобной маленькой задачи, вздумай я использовать Win2008 + MS SQL Server? гиг? полтора?

nixadmin · 30-03-11 19:24:35

Svart Testare пишет:

Не знаю, нужно ставить WebMatrix и смотреть. Вечером скажу точнее.
https://www.microsoft.com/web/post/getti … -webmatrix

Это видео? https://www.youtube.com/watch?v=5Rt1s7mHKPw
На 42-й секунде ВебМатрикс дает выбрать только MySQL (до конца не смотрел)

Добавлено спустя 01 мин 03 с:

Svart Testare пишет:

Встроенного IIS Express и SQL Server Express хватит за глаза.

ну а памяти то сколько надо выделить виртуалке?) точно не надо, хватит примерных цифр

Редактировался nixadmin (30-03-11 19:26:05)

nixadmin · 30-03-11 19:47:36

Svart Testare пишет:

Ну откуда я знаю? Возьмите и попробуйте.

зарегал Live ID и таки получил ссылку на триал Win 2008. Докачается - попробую, но наверное уже завтра.

Добавлено спустя 03 мин 04 с:

Svart Testare пишет:

Так что Joomla отсталая.

WordPress, емнип тоже с MS SQL не дружит.

Maddoc · 31-03-11 10:55:44

nixadmin пишет:

для примера, один маленький сайтик на мускуле

Архитектура Facebook пишет:

MySQL — используется как хранилище пар ключ-значение, никаких join'ов

Так и Excel умеет, не?

IvanOFF · 02-04-11 02:20:30

А причем здесь MySQL? Если скрипт не фильтрует ввод, то поиметь можно абсолютно любую БД. А против самой MySQL ничего против не имею, де факто стандарт для веб-сайтов на unix хостинге. Со своими обязанностями справляется, при это весьма нетребовательна к ресурсам, проста в понимании и администрировании - что еще надо?

Алька · 02-04-11 02:33:49

MOP3E пишет:

Ну и ещё нужно найти провайдера, который будет одновременно предоставлять услуги MS SQL Server и PHP.

почти любой, что хостинг на IIS даёт

Форум StopLinux

Объявление

#1 30-03-11 09:35:46

Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#2 30-03-11 15:21:05

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#3 30-03-11 15:54:04

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#4 30-03-11 15:58:08

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#5 30-03-11 15:59:38

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#6 30-03-11 18:34:17

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#7 30-03-11 18:38:00

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#8 30-03-11 18:50:50

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#9 30-03-11 19:13:54

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#10 30-03-11 19:20:20

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#11 30-03-11 19:24:35

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#12 30-03-11 19:47:36

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#13 31-03-11 10:55:44

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#14 02-04-11 02:20:30

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

#15 02-04-11 02:33:49

Re: Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

Подвал форума