phpbar.de logo

Mailinglisten-Archive

Re: Sicherheitsprobleme bei MySQL !!!!
Archiv Mailingliste mysql-de

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Sicherheitsprobleme bei MySQL !!!!



Guido Stepken schrieb am Mittwoch, den  1. September 1999:
[zu <URL: http://www.little-idiot.de/firewall/zusammen-169.html >]
> > Dein Text erwähnt das für die Problematik sehr wichtige File-Privileg
> > nicht einmal.  In meinen Augen ein wirklich schweres Manko Deines
> > Textes.  Ich fände es wichtig, daß Du den Text nochmal überarbeitest!
> >
> Jepp, schon getan ...

Hmm, was hast Du denn geändert?

Das File-Privileg jedenfalls wird dort immer noch nicht erwähnt.  Auch
nicht, daß MySQL (mindestens ab den 3.22er Versionen) per LOAD DATA
INFILE nur Zugriff auf solche Dateien außerhalb des Datenbank-
verzeichnises erlaubt, die für alle lesbar sind.
Und daß die Problematik einfach vermieden werden kann, wenn man das
File-Privileg nicht vergibt, sondern LOAD DATA LOCAL INFILE nutzt.
Das gleiche gilt für SELECT ... INTO OUTFILE.
Alle Tests, die ich machen konnte, zeigen auch, daß man mit SELECT ...
INTO OUTFILE wie im Manual beschrieben wirklich keine bestehenden
Dateien überschreiben kann.  Deshalb gehört da unbedingt ein Hinweis
in den Text, in welcher alten MySQL-Version diese Sicherlücke besteht,
und daß sie in aktuellen Versionen _nicht_ mehr existiert.
Auch zum Logging gehört meines Erachtens erwähnt, daß das in allen
aktuellen Version vollständig mitloggt.

Ciao,
  Martin
-- 
Martin Ramsch <m.ramsch_(at)_computer.org> <URL: http://home.pages.de/~ramsch/ >
PGP KeyID=0xE8EF4F75 FiPr=52 44 5E F3 B0 B1 38 26  E4 EC 80 58 7B 31 3A D7

---
*** Abmelden von dieser Mailingliste funktioniert per E-Mail
*** an mysql-de-request_(at)_lists.4t2.com mit Betreff/Subject: unsubscribe


Home | Main Index | Thread Index

php::bar PHP Wiki   -   Listenarchive