Re: Sicherheitsprobleme bei MySQL !!!!

[Martin Ramsch <m.ramsch_(at)_computer.org>]

Guido Stepken schrieb am Mittwoch, den  1. September 1999:
> > Du schreibst aber nicht, daß das auch genau an der Stelle im MySQL-
> > Handbuch beschrieben ist, wo es hingehört - im Kapitel "7.15 LOAD DATA
> > INFILE syntax". :)
> 
> Ich habe es gelesen....

Es wäre meiner Meinung nach gut, in Deinem Text auch auf solche
Stellen hinzuweisen, damit man nicht nur liest, wo Probleme sein
können, sondern auch gleich sieht, wie sie behebbar sind.

> > Weiters schreibst Du:
> > | Das Statement:
> > |       insert .....
> > |       select * from passwd into outfile "/etc/passwd";
> > |       Query OK, 32 rows affected (0.03 sec)
> > | spare ich mir nun, was Sie ebenfalls sich sparen sollten.
> >
> > ... und man sich auch wirklich sparen kann -- weil es nicht
> > funktioniert.  ;-)
> 
> Leider nicht. Es gibt da ein sog. race condition Problem..... je
> nach UNIX.  Verfolge mal die Problematik in der BUGTRAQ Liste ....

Hast Du evtl. einen schnellen Link zum Nachlesen parat?

Allerdings lese ich weiter unten, daß S.U.S.E. anscheinend nur eine
uralte MySQL V3.21 ausliefert (keine Ahnung)?  Betrifft das auch
neuere MySQL-Versionen?

Dann wäre es meines Erachtens auch wichtig, in Deinem Text klar auf
die Versionsnummer hinzuweisen, weil Fehler in MySQL erstaunlicher-
weise auch tatsächlich bereinigt werden und deswegen manche Kritik von
gestern bei der aktuellen Version schon nicht mehr greift. :)
(Das macht die Kritik nicht überflüssig, nur muß man sagen, wofür sie
gilt ...)

> > MySQL überschreibt mit SELECT .. INTO OUTFILE aus Sicherheitsgründen
> > niemals bestehende Dateien!
> 
> Doch, ich konnte ohne Probleme die Datei nochmals exportieren ....

Geht bei mir (MySQL V3.22.19b) nicht, deshalb Vermutung: ein Bug
Deiner älteren MySQL-Version.  Das Change-Log enthält ein paar
Einträge dazu ...


> Bei mir nicht .... 3.21 ....nicht in der default Konfiguration ..... Die
> Logfiles, die ich dort zeige, sind authentisch ....

Das hab' ich auch nicht bezweifelt. :)
Ich hatte nur nicht daran gedacht, daß Du keine aktuelle
3.22er-Version verwendet haben könntest.

> > Kurzum:
> >   Dein "Analyse" ist unvollständig und deshalb irreführend, auch wenn
> >   die Absicht, Sicherheitslücken aufzudecken natürlich prima ist!
> >
> Buh, erschreck ;-))

Stimmt aber leider.

Dein Text erwähnt das für die Problematik sehr wichtige File-Privileg
nicht einmal.  In meinen Augen ein wirklich schweres Manko Deines
Textes.  Ich fände es wichtig, daß Du den Text nochmal überarbeitest!


> Naja, ich bin sicher nicht so wenig erfahren, wie vielleicht andere User,
> die Default Installation von MySQL ist aber so, daß jemand, der ebenfalls
> einen Account auf einem Multi-Homing Server besitzt, über die Firewall
> hinweg (Freigeschaltetter Port 3306/3333) alle Dateien von anderen Domains
> einsehen kann. Beispiel Strato mit dem MySQL Webhosting Angebot

Hast Du evtl. schon S.U.S.E. kontaktiert, daß die Default-Installation
von MySQL in Zukunft besser gemacht wird?


> Ein guter Tip. ... Über named PIPES .... habe ich gelesen .... [...]
> mknod p datei ... kennt nicht jeder ....

Nö, über Unix-Sockets, also der Fall, wenn man in MySQL "localhost"
angibt.  Man muß dazu keine Named-Pipe erzeugen.
(OT: Weißt Du evtl., wie ich die Buffer-Größe von Named-Pipes unter
     Solaris 2.6 verändern kann?)

Ciao,
  Martin
-- 
Martin Ramsch <m.ramsch_(at)_computer.org> <URL: http://ramsch.home.pages.de/ >
PGP: 0xE8EF4F75, 52 44 5E F3 B0 B1 38 26  E4 EC 80 58 7B 31 3A D7

  War doesn't demonstrate who's right... just who's left.

---
*** Abmelden von dieser Mailingliste funktioniert per E-Mail
*** an mysql-de-request_(at)_lists.4t2.com mit Betreff/Subject: unsubscribe