Tre cerotti per MySQL

Nel famoso database open source sono state corrette tre vulnerabilità di sicurezza, tra cui una potenzialmente utilizzabile per compromettere un sistema remoto

Roma - MySQL AB, la società svedese che sviluppa l'omonimo e famoso database open source, ha rilasciato un aggiornamento di sicurezza che mette fine ad alcune falle, tra cui una piuttosto seria.

In questo advisory FrSIRT spiega che la vulnerabilità più pericolosa consiste in un errore di buffer overflow sfruttabile da un aggressore per eseguire del codice da remoto o in locale.

Le altre due vulnerabilità potrebbero invece consentire ad un malintenzionato di accedere ad alcune porzioni della memoria di sistema.
Le debolezze interessano le versioni 4.0.26, 4.1.18, 5.0.20 e 5.1.9 di MySQL, incluse le versioni precedenti. Le relative patch possono essere scaricate da qui.
TAG: sicurezza
73 Commenti alla Notizia Tre cerotti per MySQL
Ordina
  • Salve a tutti,

    scrivo, poichè non è possibile che venga pubblicato l'autore di scoperte di bug molto più semplici da scovare come coss site scripting o sql injection, ma non lo scopritore come in questo caso di un Buffer Overrun.

    La vulnerabilità penso non sia stata facile da trovare, in più l'autore ha fatto un grandissimo lavoro mettendo in luce le potenzialità della ricerca nella security in Italia.

    Premiamolo, eccheccazzo!
    non+autenticato
  • Invece di continuare ad insultare (giustamente) quella ciofeca di MySQL perché non passate ad un VERO database open source?
    Ovviamente se MySQL viene preso come esempio di come lavora la comunità open source, non possono che esserci insulti per la comunità.
    Se invece la gente si decidesse ad usare PostgreSQL ance i giudizi nei confronti della comunità open source non potrebbero che migliorare.
    non+autenticato

  • - Scritto da:
    > Invece di continuare ad insultare (giustamente)
    > quella ciofeca di MySQL perché non passate ad un
    > VERO database open
    > source?
    > Ovviamente se MySQL viene preso come esempio di
    > come lavora la comunità open source, non possono
    > che esserci insulti per la
    > comunità.
    > Se invece la gente si decidesse ad usare
    > PostgreSQL ance i giudizi nei confronti della
    > comunità open source non potrebbero che
    > migliorare.

    Infatti ho aperto il thread sotto, mi lamento di MySQL ma uso Postgres.
    non+autenticato
  • Qualcuno si ricorda quali commenti facevano gli sviluppatori di MySQL a chi richiedeva integrità referenziale, transazioni e subquery un po' di anni fa?

    Dove posso trovare quei messaggi mitici? Io dopo aver letto quale era il livello di chi sviluppava mysql ho deciso di non prenderlo in considerazione se non per dei sitarelli
    non+autenticato

  • Tutto l'open source è così.

    LO stesso Kernel di Linux, il tanto blasonato kernel miracoloso, viene oggi ad essere infarcito di bug creati dagli opensourciari che crescono a ritmo vertiginoso, come denunciano gli stessi sviluppatori:

    Linux kernel 'getting buggier,' leader says
    http://news.zdnet.com/2100-3513_22-6069363.html

    L'Open Source è la più grande bufala degli ultimi 30 anni... ma i linari ci metteranno un pò per capirlo.
    non+autenticato


  • - Scritto da:
    >
    > Tutto l'open source è così.

    La ragione è proprio nel fatto che è gratuito.

    Se io sviluppatore ti do software gratis, non sono responsabile nei confronti di chi lo usa. Sono deresponsabilizzato, in quanto il software te lo regalo, quindi perchè dovrei sentirmi obbligato a risolvere un bug?

    Ad esempio, immagina se un qualsiasi software commerciale oggi potesse permettersi di non supportare unicode. Non è neanche pensabile. Mentre a chi sviluppa MySQL il fatto che da 4 anni unicode su win è inutilizzabile è qualcosa che gli passa attraverso senza minimamente preoccuparli, perché sono appunto deresponsabilizzati proprio dalla filosofia open source.

    L'open source è una cosa che dovrebbe restare all'interno delle università per gli studenti, quella è la sola applicazione dove non fa danni.
    non+autenticato

  • - Scritto da:

    > Ad esempio, immagina se un qualsiasi software
    > commerciale oggi potesse permettersi di non
    > supportare unicode. Non è neanche pensabile.

    Il problema è che ci sono ditte che MySQL lo pagano, e caro.
    non+autenticato
  • Bel troll.
    non+autenticato

  • - Scritto da:
    > Qualcuno si ricorda quali commenti facevano gli
    > sviluppatori di MySQL a chi richiedeva integrità
    > referenziale, transazioni e subquery un po' di
    > anni
    > fa?
    >
    > Dove posso trovare quei messaggi mitici? Io dopo
    > aver letto quale era il livello di chi sviluppava
    > mysql ho deciso di non prenderlo in
    > considerazione se non per dei
    > sitarelli

    http://punto-informatico.it/f/m.aspx?m_id=1334409&...
    http://punto-informatico.it/f/m.aspx?m_id=1463698&...
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > Qualcuno si ricorda quali commenti facevano gli
    > > sviluppatori di MySQL a chi richiedeva integrità
    > > referenziale, transazioni e subquery un po' di
    > > anni
    > > fa?
    > >
    > > Dove posso trovare quei messaggi mitici? Io dopo
    > > aver letto quale era il livello di chi
    > sviluppava
    > > mysql ho deciso di non prenderlo in
    > > considerazione se non per dei
    > > sitarelli
    >
    > http://punto-informatico.it/f/m.aspx?m_id=1334409&
    > http://punto-informatico.it/f/m.aspx?m_id=1463698&

    erano i forum ufficiali di mysql, non di PI.
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > Qualcuno si ricorda quali commenti facevano gli
    > > sviluppatori di MySQL a chi richiedeva integrità
    > > referenziale, transazioni e subquery un po' di
    > > anni
    > > fa?
    > >
    > > Dove posso trovare quei messaggi mitici? Io dopo
    > > aver letto quale era il livello di chi
    > sviluppava
    > > mysql ho deciso di non prenderlo in
    > > considerazione se non per dei
    > > sitarelli
    >
    > http://punto-informatico.it/f/m.aspx?m_id=1334409&
    > http://punto-informatico.it/f/m.aspx?m_id=1463698&

    So perfettamente queste cose. Tu invece non conosci le risposte che davano gli sviluppatori di MySQL un po' di anni fa quando si parlava di ACID e integrità referenziale.
    non+autenticato

  • Queste patch sono di vunerabilità gravissime,
    poi si parla delle vulnerabilità Microsoft.
    Una ipocrisia dopo l'altra, nel tentativo
    di dimostrare che l'open source sia migliore
    di un prodotto pagato fior di quattrini.
    Per fortuna non ci crede più nessuno, almeno
    nelle aziende.
    MySQL dimostra di rappresentare tutto quello
    che c'è di male nell Open Source:

    1) La filosofia "FIX IT YOURSELF" porta
        solo ad un software più vulnerabile
        in quanto alla fine a guardare nei
        sorgenti non sono le aziende che li
        usano ma chi cerca exploit. E quello
        che è successo con queste vulnerabilità
        lo conferma.

    2) La cosiddettà prolificità delle
        comunità open source non porta
        al miglioramento dei prodotti, ma
        solo all'accumularsi di feature
        che non funzionano (si pensi al
        supporto unicode che nell'MyODBC
        per windows è settabile, ma che
        di fatto non funziona, e che
        rende praticamente inutilizzabile
        MySQL su Win)

    3) La maggiore velocità di sviluppo
        dei prodotti Open Source è una farsa,
        il driver MyODBC è fermo da 4 anni
        alla 3.51, e la 5.0 alpha è dispersa.

    4) Infine il tanto glorificato SUPPORTO
        di una vasta comunità è una farsa
        totale (sempre per citare la clamorosa
        assenza di unicode nel driver ODBC
        per windows, vi sono decine thread di
        lamentela nei forum ignorati da anni,
        ma mai una sola risposta da
        questa tanto "disponibile" comunità).

    La mia azienda ha gettato alle ortiche
    il codice di 6 mesi dopo aver realizzato quale
    massa di bug si nasconde in MySQL, ed è
    passata a Microsoft SQL Server. Si pagherà si,
    ma almeno chi ci lavora non deve impazzire
    appresso alle e-mail di ragazzini presuntuosi
    che non si degnano neanche di rispondere solo
    per scoprire dopo mesi che una feature
    fondamentale tanto sbandierata in realtà non
    c'è affatto ed è stata messa li come opzione
    solo per fare scena. Tipico di quella massa di
    (eterni) adolescenti che brulicano il mondo
    open source non riuscendosi a trovare un
    vero lavoro (forse proprio perché incapaci).
    non+autenticato
  • - Scritto da:
    >
    > Queste patch sono di vunerabilità gravissime,
    > poi si parla delle vulnerabilità Microsoft.
    > Una ipocrisia dopo l'altra, nel tentativo
    > di dimostrare che l'open source sia migliore
    > di un prodotto pagato fior di quattrini.
    > Per fortuna non ci crede più nessuno, almeno
    > nelle aziende.
    > MySQL dimostra di rappresentare tutto quello
    > che c'è di male nell Open Source:

    [snippone]

    *** ATTENZIONE ***

    Venditore Microsoft al lavoro.

    non+autenticato
  • > *** ATTENZIONE ***
    >
    > Venditore Microsoft al lavoro.

    Risposta di rito per te:
    "tutti quelli che, al posto di argomentare, accusano gli altri di essere pagati da chicchesia, offendono più se stessi che le persone che vorrebbero offendere."
    non+autenticato
  • - Scritto da:
    > > *** ATTENZIONE ***
    > > Venditore Microsoft al lavoro.

    > Risposta di rito per te:
    > "tutti quelli che, al posto di argomentare,
    > accusano gli altri di essere pagati da
    > chicchesia, offendono più se stessi che le
    > persone che vorrebbero
    > offendere."

    Veramente non era necessaria la sua accusa, il post trasuda parzialita', tanto che ne cola un po' anche fuori.
    Altro elemento a favore sono le mancate risposte a chi ha argomentato.

    Si vede benissimo da lontano chi e' il Troll
    non+autenticato

  • - Scritto da:

    > > Risposta di rito per te:
    > > "tutti quelli che, al posto di argomentare,
    > > accusano gli altri di essere pagati da
    > > chicchesia, offendono più se stessi che le
    > > persone che vorrebbero
    > > offendere."

    > Veramente non era necessaria la sua accusa

    Non c'entra nulla con quello che ho scritto.
    Sai leggere l'italiano?
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    >
    > > > Risposta di rito per te:
    > > > "tutti quelli che, al posto di argomentare,
    > > > accusano gli altri di essere pagati da
    > > > chicchesia, offendono più se stessi che le
    > > > persone che vorrebbero
    > > > offendere."
    >
    > > Veramente non era necessaria la sua accusa
    >
    > Non c'entra nulla con quello che ho scritto.
    > Sai leggere l'italiano?

    Come gia' detto...
    Si vede benissimo da lontano chi e' il Troll
    non+autenticato

  • - Scritto da:

    > Come gia' detto...
    > Si vede benissimo da lontano chi e' il Troll

    sì.
    Quello senza argomenti.
    non+autenticato

  • > Veramente non era necessaria la sua accusa, il
    > post trasuda parzialita', tanto che ne cola un

    Forse dovresti farti un giro sui forum di MySQL, dove c'è gente molto più inca%%ata di quello che ha scritto il post:

    http://forums.mysql.com/read.php?37,39375,39375#ms...

    http://forums.mysql.com/read.php?37,25456,39329#ms...

    http://forums.mysql.com/read.php?37,25456,81599#ms...
    non+autenticato

  • - Scritto da:
    >
    > > Veramente non era necessaria la sua accusa, il
    > > post trasuda parzialita', tanto che ne cola un
    >
    > Forse dovresti farti un giro sui forum di MySQL,
    > dove c'è gente molto più inca%%ata di quello che
    > ha scritto il
    > post:
    >
    > http://forums.mysql.com/read.php?37,39375,39375#ms
    >
    > http://forums.mysql.com/read.php?37,25456,39329#ms
    >
    > http://forums.mysql.com/read.php?37,25456,81599#ms

    shhhhh non dirlo se no crolla il mito.
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > >
    > > > Veramente non era necessaria la sua accusa, il
    > > > post trasuda parzialita', tanto che ne cola un
    > >
    > > Forse dovresti farti un giro sui forum di MySQL,
    > > dove c'è gente molto più inca%%ata di quello che
    > > ha scritto il
    > > post:
    > >
    > >
    > http://forums.mysql.com/read.php?37,39375,39375#ms
    > >
    > >
    > http://forums.mysql.com/read.php?37,25456,39329#ms
    > >
    > >
    > http://forums.mysql.com/read.php?37,25456,81599#ms
    >
    > shhhhh non dirlo se no crolla il mito.


    sssst 2 troll con una fava...e tu sei il secondo
    CLAP CLAP
    non+autenticato

  • - Scritto da:

    > sssst 2 troll con una fava...e tu sei il secondo
    > CLAP CLAP

    Argomenti?
    Le offese?
    non+autenticato