ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] DoS-уязвимость в MySQL
@ 2007-05-28 17:34 Eugine Kosenko
  2007-05-28 17:45 ` Dmitry V. Levin
  0 siblings, 1 reply; 2+ messages in thread
From: Eugine Kosenko @ 2007-05-28 17:34 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list; +Cc: MySQL Development Team

Буквально на днях узнал об уязвимости:

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-2583

На ЛОР эту проблему описали так:

СУБД (версии уточняются) MySQL 5.x уязвима к следующей DoS атаке:
"SELECT id from example WHERE id IN (1, (SELECT IF(1=0,1,2/0)));",
которая приводит к падению сервера. Хостерам рекомендуется обновиться
незамедлительно.

Я проверил на текущем Сизифе (MySQL 5.0.34) уязвимость есть: после
выполнения указанного запроса сервер уходит в даун и требует
повторного запуска. Более того, сервер падает даже после более
простого запроса

SELECT id from example WHERE id IN (1, 2/0);

Когда можно ожидать исправления этой уязвимости?

^ permalink raw reply	[flat|nested] 2+ messages in thread
* Re: [sisyphus] DoS-уязвимость в MySQL
  2007-05-28 17:34 [sisyphus] DoS-уязвимость в MySQL Eugine Kosenko
@ 2007-05-28 17:45 ` Dmitry V. Levin
  0 siblings, 0 replies; 2+ messages in thread
From: Dmitry V. Levin @ 2007-05-28 17:45 UTC (permalink / raw)
  To: ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 874 bytes --]

On Mon, May 28, 2007 at 08:34:46PM +0300, Eugine Kosenko wrote:
> Буквально на днях узнал об уязвимости:
> 
> http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-2583

Я проинформировал мантейнера ещё 10-го мая.

> На ЛОР эту проблему описали так:
> 
> СУБД (версии уточняются) MySQL 5.x уязвима к следующей DoS атаке:
> "SELECT id from example WHERE id IN (1, (SELECT IF(1=0,1,2/0)));",
> которая приводит к падению сервера. Хостерам рекомендуется обновиться
> незамедлительно.
> 
> Я проверил на текущем Сизифе (MySQL 5.0.34) уязвимость есть: после
> выполнения указанного запроса сервер уходит в даун и требует
> повторного запуска. Более того, сервер падает даже после более
> простого запроса
> 
> SELECT id from example WHERE id IN (1, 2/0);
> 
> Когда можно ожидать исправления этой уязвимости?

Надеюсь что не позднее завтрашнего дня.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 2+ messages in thread
end of thread, other threads:[~2007-05-28 17:45 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-05-28 17:34 [sisyphus] DoS-уязвимость в MySQL Eugine Kosenko
2007-05-28 17:45 ` Dmitry V. Levin

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git