The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в mod-auth-mysql и GStreamer"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от opennews (ok) on 26-Янв-09, 15:19 
В mod-auth-mysql, модуле аутентификации в MySQL для http-сервера Apache 2, обнаружена (http://www.openwall.com/lists/oss-security/2009/01/21/10) возможность подстановки злоумышленником SQL кода, из-за отсутствия надлежащей проверки экранированных символов, при использовании многобайтовых кодировок, перед их использованием в SQL запросе.


Вторая уязвимость (http://trapkit.de/advisories/TKADV2009-003.txt) присутствует в QuickTime плагине из "good" набора кодеков аудиосервера GStreamer. При обработке специально созданного мультимедиа файла, злоумышленник может организовать выполнение своего кода в системе. Уязвимость может быть использована в программах, использующих при своей работе GStreamer, например, Songbird, Totem, Amarok и т.п.

Проблема исправлена (http://gstreamer.freedesktop.org/releases/gst-plugins-good/0...) в наборе gst-plugins-good версии 0.10.12.


URL: http://www.openwall.com/lists/oss-security/2009/01/21/10
Новость: https://www.opennet.ru/opennews/art.shtml?num=19948

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от parad (ok) on 26-Янв-09, 15:19 
> В mod-auth-mysql, модуле аутентификации в MySQL для http-сервера Apache 2, обнаружена возможность подстановки злоумышленником SQL кода, из-за отсутствия надлежащей проверки экранированных символов, при использовании многобайтовых кодировок, перед их использованием в SQL запросе.

Вот этот набор слов можно заменить на два - скуль енжекшн.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от geekkoo (ok) on 26-Янв-09, 16:19 
Да, скоро эти понятия будут нерасторжимы - мы говорим SQL, подразумеваем injection !
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от Щекн Итрч (ok) on 26-Янв-09, 16:51 
Проверяйте ввод.
Регилия не позволяет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от geekkoo (ok) on 26-Янв-09, 17:33 
>Проверяйте ввод.
>Регилия не позволяет?

Ушел в рекурсию на час ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от User294 (??) on 26-Янв-09, 19:36 
А что такое "Регилия"?
ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет и кой-какую цену ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от parad (ok) on 26-Янв-09, 19:45 
>А что такое "Регилия"?
>ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет
>и кой-какую цену ;)

ты сам понял какой бред сказал?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от Щекн Итрч (ok) on 26-Янв-09, 21:20 
Вообще-то sql injection "подвержены" исключительно веб-приложения.
От скриптовых языков/фреймворков, до модулей апача.
Помните об этом.

И примерно миллион ссылок на Postgres, помимо этой.

For the first time I have been in a position to realize that a machine was attacked from an outside source in a production enviroment. A web server running Apache 2 and PostgreSQL was successfully attacked using a SQL injection vulnerability. I first noticed there was a new table in one of our PostgreSQL databases named 't_jiaozhu'.

http://www.rsreese.com/2007/03/sql-injection-attack-on-postg...

# grep t_jiaozhu *fred-access_log:219.153.131.99 - - [25/Mar/2007:11:59:32 -0400] "HEAD /showemploymentopportunity.php?id=38;create%20table%20t_jiaozhu(jiaozhu%20varchar(200)) HTTP/1.1" 200 - "-" "Mozilla/3.0 (compatible; Indy Library)"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от parad (ok) on 26-Янв-09, 19:02 
хз как в мускуле постгря своей апи позволяет надежное защитится от таких неприятностей:
prepare ('select * from func(?,?)');
execute (param1, param2);
и никаких проверок не надо, - не подойдет формат поля - екзекуте вернет ошибку, и где надо все заэкранирует! ))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от Щекн Итрч (ok) on 26-Янв-09, 21:22 
Вообще-то, sql injection атакует веб-сервисы.
А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер пробил через подверженный уязвимости веб-сервис :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от geekkoo (ok) on 26-Янв-09, 22:10 
>Вообще-то, sql injection атакует веб-сервисы.
>А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер
>пробил через подверженный уязвимости веб-сервис :)

Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.

Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от none (??) on 26-Янв-09, 22:54 
>Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.

предложите модель реализации, к примеру, форума, где данная проблема будет решена.


>Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?

что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от geekkoo (ok) on 27-Янв-09, 00:11 
>>Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.
>
>предложите модель реализации, к примеру, форума, где данная проблема будет решена.
>

Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю в руки выдается полноценный шелл (а SQL - это уже полноценный язык), а потом, когда этот пользователь начинает крушить сервер в мелкую щебенку, начинаются крики - что ж мы наделали и начинаются попытки по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать?
>
>>Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?
>
>что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?

Все тоже самое, только без SQL-я. Недавно же была новость - https://www.opennet.ru/openforum/vsluhforumID3/48432.html , только никто на неё внимание не обратил ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от parad (ok) on 27-Янв-09, 02:38 
ля, мужики, вы прежде чем писать выучите хоть одну БД. действительно тяжело слушать этот бред. серьездно!..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от none (??) on 27-Янв-09, 07:13 
>Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю
>в руки выдается полноценный шелл (а SQL - это уже полноценный
>язык), а потом, когда этот пользователь начинает крушить сервер в мелкую
>щебенку, начинаются крики - что ж мы наделали и начинаются попытки
>по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать?

абсурд вы несете. точно так же можно утверждать: зачем хранить картинки, хтмл-ки, музыку и видео под одним аккаунтам, злоумышлиник получив доступ, может потереть все...


>>что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?
>
>Все тоже самое, только без SQL-я. Недавно же была новость - https://www.opennet.ru/openforum/vsluhforumID3/48432.html
>, только никто на неё внимание не обратил ...

ага, Вы не осилили sql и хотите от него убежать :)
с помощью "ключ-значение" от проблемы описаной вами выше вы не уйдете и не все данные описываются так просто: ключ-значение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от parad (ok) on 27-Янв-09, 02:26 
Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты понял что я написал! - это раз.
Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)") дохрена.
Три: еще раз прочитай что я написал про универсальный механизм защиты и сравни с "два".
Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты особо не в теме.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от noname (??) on 27-Янв-09, 09:59 
>Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты
>понял что я написал! - это раз.
>Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)")
>дохрена.
>Три: еще раз прочитай что я написал про универсальный механизм защиты и
>сравни с "два".
>Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты
>особо не в теме.

Да, знакомо ... Стройная система костылей и подпорок ... Прицепим сбоку необязательную статическую типизацию и будем продолжать жрать кактус ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от Щекн Итрч (ok) on 27-Янв-09, 20:04 
>Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты
>понял что я написал! - это раз.
>Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)")
>дохрена.
>Три: еще раз прочитай что я написал про универсальный механизм защиты и
>сравни с "два".
>Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты
>особо не в теме.

Ощущение, будто бы вы не совсем адекватны? Все хорошо со здоровьем?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от parad (ok) on 27-Янв-09, 23:37 
да, есть немного: сказывается хронический недосып и переработка...
но это никак не сглаживает ту ахинею что ты выше сказал!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в mod-auth-mysql и GStreamer"  
Сообщение от Щекн Итрч (ok) on 28-Янв-09, 00:27 
>да, есть немного: сказывается хронический недосып и переработка...
>но это никак не сглаживает ту ахинею что ты выше сказал!

Ну, сбрехнул в полемическом задоре, признаЮ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру