* [sisyphus] mysql buffer overflow
@ 2003-09-16 6:14 Герасимов Дмитрий
2003-09-16 10:54 ` Dmitry V. Levin
0 siblings, 1 reply; 13+ messages in thread
From: Герасимов Дмитрий @ 2003-09-16 6:14 UTC (permalink / raw)
To: sisyphus
Приветствую!
Народ, а как у нас с последней дыркой в mysql? Дырка-то remote. :-(
Имеется ввиду вот этот документ -
http://www.securityfocus.com/archive/1/337012
с уважением, Димка Герасимов
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] mysql buffer overflow
2003-09-16 6:14 [sisyphus] mysql buffer overflow Герасимов Дмитрий
@ 2003-09-16 10:54 ` Dmitry V. Levin
2003-09-17 2:27 ` Dmitry Derjavin
0 siblings, 1 reply; 13+ messages in thread
From: Dmitry V. Levin @ 2003-09-16 10:54 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 693 bytes --]
On Tue, Sep 16, 2003 at 10:14:29AM +0400, Герасимов Дмитрий wrote:
> Приветствую!
> Народ, а как у нас с последней дыркой в mysql? Дырка-то remote. :-(
> Имеется ввиду вот этот документ -
> http://www.securityfocus.com/archive/1/337012
По независящим от ALT Security Team причинам организационного характера
выпуск этого и нескольких других обновлений задерживается.
Что касается этой конкретной уязвимости, то она не представляет большой
угрозы, ибо privilege escalation в данном случае сведена к минимуму:
администратор базы данных (пользователь с правами ALTER на таблицу
mysql.user) может исполнять любой код с правами псевдопользователя mysql в
chroot jail'е /var/lib/mysql/.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] mysql buffer overflow
2003-09-16 10:54 ` Dmitry V. Levin
@ 2003-09-17 2:27 ` Dmitry Derjavin
2003-09-17 3:18 ` Maxim.Savrilov
0 siblings, 1 reply; 13+ messages in thread
From: Dmitry Derjavin @ 2003-09-17 2:27 UTC (permalink / raw)
To: sisyphus
"Dmitry V. Levin" <ldv@altlinux.org> writes:
>> http://www.securityfocus.com/archive/1/337012
>
> По независящим от ALT Security Team причинам организационного характера
> выпуск этого и нескольких других обновлений задерживается.
>
> Что касается этой конкретной уязвимости, то она не представляет большой
> угрозы, ибо privilege escalation в данном случае сведена к минимуму:
> администратор базы данных (пользователь с правами ALTER на таблицу
> mysql.user) может исполнять любой код с правами псевдопользователя mysql в
> chroot jail'е /var/lib/mysql/.
Прекрасный ответ. Хотелось бы видеть такие ответы не только здесь, но и в
security-announce@altlinux.ru сразу после публикации сообщений об
ошибках. Даже если нет необходимости или возможности для немедленного
выпуска обновлений, хочется получить официальный комментарий ALT
Security Team. Сейчас иногда возникает ощущение, что ALT Security Team не
очень внимательно следит за выпуском обновлений, связанных с безопасностью.
--
~dd
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] mysql buffer overflow
2003-09-17 2:27 ` Dmitry Derjavin
@ 2003-09-17 3:18 ` Maxim.Savrilov
2003-09-17 3:41 ` Dmitry Derjavin
2003-09-17 8:22 ` [sisyphus] " Konstantin A. Lepikhov
0 siblings, 2 replies; 13+ messages in thread
From: Maxim.Savrilov @ 2003-09-17 3:18 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 905 bytes --]
On Wed, 17 Sep 2003 13:27:56 +1100
Dmitry Derjavin <dd@farpost.com> wrote:
>
> Прекрасный ответ. Хотелось бы видеть такие ответы не только здесь, но и в
> security-announce@altlinux.ru сразу после публикации сообщений об
> ошибках. Даже если нет необходимости или возможности для немедленного
> выпуска обновлений, хочется получить официальный комментарий ALT
> Security Team. Сейчас иногда возникает ощущение, что ALT Security Team не
> очень внимательно следит за выпуском обновлений, связанных с безопасностью.
Скажем так, последние обновления появлялись позднее, чем в Debian, но раньше, чем
в Slackware ;)
ИМХО, просто на оригинальные тарболлы в Альте накатывается такое количество патчей,
что ошибки, обнаруженные в оригиналах часто отсутствуют в пакетах
P.S. еще бы в оригинальные ядра Linus положил grsecurity patch, ваще счастье было бы
--
Don't tell anyone I'm free.
[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] mysql buffer overflow
2003-09-17 3:18 ` Maxim.Savrilov
@ 2003-09-17 3:41 ` Dmitry Derjavin
2003-09-17 8:22 ` [sisyphus] " Konstantin A. Lepikhov
1 sibling, 0 replies; 13+ messages in thread
From: Dmitry Derjavin @ 2003-09-17 3:41 UTC (permalink / raw)
To: sisyphus
Maxim.Savrilov@socenter.ru writes:
>> Прекрасный ответ. Хотелось бы видеть такие ответы не только здесь, но и в
>> security-announce@altlinux.ru сразу после публикации сообщений об
>> ошибках. Даже если нет необходимости или возможности для немедленного
>> выпуска обновлений, хочется получить официальный комментарий ALT
>> Security Team. Сейчас иногда возникает ощущение, что ALT Security Team не
>> очень внимательно следит за выпуском обновлений, связанных с безопасностью.
>
> ИМХО, просто на оригинальные тарболлы в Альте накатывается такое количество патчей,
> что ошибки, обнаруженные в оригиналах часто отсутствуют в пакетах
Думаю, что даже в таком случае ALT Security Team стоило бы немедленно
как-нибудь отреагировать официально. Вот, по-моему, хорошие примеры:
http://www.altlinux.ru/pipermail/security-announce/2001-March/000000.html
http://www.altlinux.ru/pipermail/security-announce/2001-March/000001.html
Сразу чувствуется внимание, забота. ;)
--
~dd
^ permalink raw reply [flat|nested] 13+ messages in thread
* [sisyphus] Re: mysql buffer overflow
2003-09-17 3:18 ` Maxim.Savrilov
2003-09-17 3:41 ` Dmitry Derjavin
@ 2003-09-17 8:22 ` Konstantin A. Lepikhov
2003-09-17 12:17 ` Denis Smirnov
2003-09-17 12:26 ` Alexei Takaseev
1 sibling, 2 replies; 13+ messages in thread
From: Konstantin A. Lepikhov @ 2003-09-17 8:22 UTC (permalink / raw)
To: sisyphus
Hi!
Wed 17, 10:18:33 +0700, Maxim.Savrilov@socenter.ru(Maxim.Savrilov@socenter.ru) wrote:
<skip>
<flame>
> P.S. еще бы в оригинальные ядра Linus положил grsecurity patch, ваще счастье было бы
>
может лучше owl? :)
</flame>
PS Поосторожнее с высказываниями :)
--
WBR, Konstantin A. Lepikhov
ELKATEL ISP Network Administrator
Tel./Fax: +7(095)7029116
http://www.elkatel.ru
--------------------------------------------------------
...The information is like the bank... (c) EC8OR
^ permalink raw reply [flat|nested] 13+ messages in thread
* [sisyphus] Re: mysql buffer overflow
2003-09-17 8:22 ` [sisyphus] " Konstantin A. Lepikhov
@ 2003-09-17 12:17 ` Denis Smirnov
2003-09-17 12:53 ` Maxim Tyurin
2003-09-17 12:26 ` Alexei Takaseev
1 sibling, 1 reply; 13+ messages in thread
From: Denis Smirnov @ 2003-09-17 12:17 UTC (permalink / raw)
To: sisyphus
On Wed, Sep 17, 2003 at 12:22:25PM +0400, Konstantin A. Lepikhov wrote:
> может лучше owl? :)
/me очень хочет RSBAC в дистрибутиве, ну очень хочет
--
С уважением, Денис
http://freesource.info
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] Re: mysql buffer overflow
2003-09-17 8:22 ` [sisyphus] " Konstantin A. Lepikhov
2003-09-17 12:17 ` Denis Smirnov
@ 2003-09-17 12:26 ` Alexei Takaseev
2003-09-17 13:01 ` Konstantin A. Lepikhov
1 sibling, 1 reply; 13+ messages in thread
From: Alexei Takaseev @ 2003-09-17 12:26 UTC (permalink / raw)
To: ALT Linux Sisyphus
On Wed, 17 Sep 2003 12:22:25 +0400
"Konstantin A. Lepikhov" <lakostis@elektrostal.ru> wrote:
> Hi!
>
> Wed 17, 10:18:33 +0700,
> Maxim.Savrilov@socenter.ru(Maxim.Savrilov@socenter.ru) wrote:
>
> <skip>
> <flame>
> > P.S. еще бы в оригинальные ядра Linus положил grsecurity
> > patch, ваще счастье было бы
> >
> может лучше owl? :)
А kernel-fix-security-owl-2003.08.28-alt1.noarch.rpm на что? Если
надо, так пересобрать с патчем - дело двух часов :)
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] Re: mysql buffer overflow
2003-09-17 12:17 ` Denis Smirnov
@ 2003-09-17 12:53 ` Maxim Tyurin
2003-09-17 21:23 ` Denis Smirnov
2003-09-18 7:32 ` Stanislav Ievlev
0 siblings, 2 replies; 13+ messages in thread
From: Maxim Tyurin @ 2003-09-17 12:53 UTC (permalink / raw)
To: sisyphus
On Wed, Sep 17, 2003 at 04:17:28PM +0400, Denis Smirnov wrote:
> On Wed, Sep 17, 2003 at 12:22:25PM +0400, Konstantin A. Lepikhov wrote:
>
> > может лучше owl? :)
>
> /me очень хочет RSBAC в дистрибутиве, ну очень хочет
Ты не одинок :)
Обещают... Потом...
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 13+ messages in thread
* [sisyphus] Re: mysql buffer overflow
2003-09-17 12:26 ` Alexei Takaseev
@ 2003-09-17 13:01 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 13+ messages in thread
From: Konstantin A. Lepikhov @ 2003-09-17 13:01 UTC (permalink / raw)
To: sisyphus
Hi!
Wed 17, 21:26:21 +0900, Alexei Takaseev(taf@altlinux.ru) wrote:
> On Wed, 17 Sep 2003 12:22:25 +0400
> "Konstantin A. Lepikhov" <lakostis@elektrostal.ru> wrote:
>
> > Hi!
> >
> > Wed 17, 10:18:33 +0700,
> > Maxim.Savrilov@socenter.ru(Maxim.Savrilov@socenter.ru) wrote:
> >
> > <skip>
> > <flame>
> > > P.S. еще бы в оригинальные ядра Linus положил grsecurity
> > > patch, ваще счастье было бы
> > >
> > может лучше owl? :)
>
> А kernel-fix-security-owl-2003.08.28-alt1.noarch.rpm на что? Если
> надо, так пересобрать с патчем - дело двух часов :)
С этим все понятно, тут разговор про другое был...
--
WBR, Konstantin A. Lepikhov
ELKATEL ISP Network Administrator
Tel./Fax: +7(095)7029116
http://www.elkatel.ru
--------------------------------------------------------
...The information is like the bank... (c) EC8OR
^ permalink raw reply [flat|nested] 13+ messages in thread
* [sisyphus] Re: mysql buffer overflow
2003-09-17 12:53 ` Maxim Tyurin
@ 2003-09-17 21:23 ` Denis Smirnov
2003-09-18 7:32 ` Stanislav Ievlev
1 sibling, 0 replies; 13+ messages in thread
From: Denis Smirnov @ 2003-09-17 21:23 UTC (permalink / raw)
To: sisyphus
On Wed, Sep 17, 2003 at 03:53:33PM +0300, Maxim Tyurin wrote:
>>> может лучше owl? :)
>> /me очень хочет RSBAC в дистрибутиве, ну очень хочет
> Ты не одинок :)
> Обещают... Потом...
Ждём... :)
--
С уважением, Денис
http://freesource.info
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] Re: mysql buffer overflow
2003-09-17 12:53 ` Maxim Tyurin
2003-09-17 21:23 ` Denis Smirnov
@ 2003-09-18 7:32 ` Stanislav Ievlev
2003-09-18 8:33 ` Albert R. Valiev
1 sibling, 1 reply; 13+ messages in thread
From: Stanislav Ievlev @ 2003-09-18 7:32 UTC (permalink / raw)
To: sisyphus
On Wed, Sep 17, 2003 at 03:53:33PM +0300, Maxim Tyurin wrote:
> On Wed, Sep 17, 2003 at 04:17:28PM +0400, Denis Smirnov wrote:
> > On Wed, Sep 17, 2003 at 12:22:25PM +0400, Konstantin A. Lepikhov wrote:
> >
> > > может лучше owl? :)
> >
> > /me очень хочет RSBAC в дистрибутиве, ну очень хочет
>
> Ты не одинок :)
> Обещают... Потом...
> --
И я хочу ... но не могу разорваться на несколько частей :(
Вот если бы кто взялся сделать kernel-feat-rsbac я бы помог.
>
> With Best Regards, Maxim Tyurin
> JID: MrKooll@jabber.pibhe.com
>
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] Re: mysql buffer overflow
2003-09-18 7:32 ` Stanislav Ievlev
@ 2003-09-18 8:33 ` Albert R. Valiev
0 siblings, 0 replies; 13+ messages in thread
From: Albert R. Valiev @ 2003-09-18 8:33 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 551 bytes --]
В сообщении от 18 Сентябрь 2003 11:32 Stanislav Ievlev написал:
> > > /me очень хочет RSBAC в дистрибутиве, ну очень хочет
> > Ты не одинок :)
> > Обещают... Потом...
> И я хочу ... но не могу разорваться на несколько частей :(
> Вот если бы кто взялся сделать kernel-feat-rsbac я бы помог.
Я уже взялся. Осталось довести начатое до конца. Скоро будет в
сизифе (как только /me окончательно разберется с cvs)
--
With Best Regards, Albert R. Valiev
------------------------------------
ALT Linux Team [www.altlinux.ru]
ARV-DARKSTAR-RIPN, ARV2-RIPE
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2003-09-18 8:33 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-09-16 6:14 [sisyphus] mysql buffer overflow Герасимов Дмитрий
2003-09-16 10:54 ` Dmitry V. Levin
2003-09-17 2:27 ` Dmitry Derjavin
2003-09-17 3:18 ` Maxim.Savrilov
2003-09-17 3:41 ` Dmitry Derjavin
2003-09-17 8:22 ` [sisyphus] " Konstantin A. Lepikhov
2003-09-17 12:17 ` Denis Smirnov
2003-09-17 12:53 ` Maxim Tyurin
2003-09-17 21:23 ` Denis Smirnov
2003-09-18 7:32 ` Stanislav Ievlev
2003-09-18 8:33 ` Albert R. Valiev
2003-09-17 12:26 ` Alexei Takaseev
2003-09-17 13:01 ` Konstantin A. Lepikhov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git