Ещё в Федоре и Арче.

кто-то воспроизвёл? Deb тоже _заявлен_ как уязвимый, но это ложь.

ну ты бы хоть описание уязвимости почитал - может тогда понял бы откуда ноги растут.

кто тебе сказал, что я не читал?

но вместо этого ты сделал гениальный вывод 'убунту дырявое, моя слака на локалхосте безопасна'

моя слака на локалхосте 32х битная, т.ч. в ней и так не работает. А вот на серверах с 64ю битным дебом я проверял - эффект отрицательный.

Дополнение: проверка версий MySQL

ключи компиляции, патчи, и прочее мы не учитываем? Где результаты _тестов_ с положительным эффектом? Я их не вижу.

lenny

Gentoo AMD64, mysql-5.1.62-r1 УМНР...

а, ну да, там только Debian Unstable имеет такую дыру.

ага. в генте тоже не работает, как пишет аффтор. Я же говорю - убунтопроблемы :-)

Да, воспроизведены, и еще раз повторяю только в 64-разрядных Ubuntu, OpenSuSE 12.1, Fedora 16 и Arch Linux. И вообще, Ubuntu Server это очень хороший вариант для организации сервера, всякие Gentoo/Arch там точно не пойдут :) так что не надо тут.

1. Да, воспроизведены, и еще раз повторяю только в 64-разрядных Ubuntu, OpenSuSE 12.1, Fedora 16 и Arch Linux.

2.Ubuntu Server это очень хороший вариант для организации сервера, всякие Gentoo/Arch там точно не пойдут :)

да уж... Утверждение №1 очень хорошо подтверждается утверждением №2...

кстати, а если на уязвимом сервере установлен phpmyadmin, то сработает-ли данная уязвимость? Насколько я понимаю, для mysql php является кагбэ локальным? Не?

Админ локалхоста такой админ локалхоста, ты бы узнал сначала, а потом говорил.

да уж... Утверждение №1 очень хорошо подтверждается утверждением №2...

оно хорошо подтверждается тем, что в репозиторий уже пришла исправленная версия, а насчет уязвимостей - они есть везде, дебиан не исключение, вот список за этот год:

http://www.debian.org/security/2012/

Баян же.

что «узнал»? убунту на сервер ставят как раз именно одмины локалхоста. Как и любую нестабильную систему (в т.ч. и арч)

оно хорошо подтверждается тем, что в репозиторий уже пришла исправленная версия, а насчет уязвимостей - они есть везде, дебиан не исключение, вот список за этот год:

http://www.debian.org/security/2012/

ага. вот и я о том - админ бубунты юзает постоянно sudo с дырой, а админ debian'а этим дырявым sudo не пользуется в большинстве случаев, в этом-то вся и разница. По умолчанию в серверной инсталляции Debian обычно sudo и нету, в отличие от бубунты, где это основной инструмент администрирования. И так - во всём.

убунту на сервер ставят как раз именно одмины локалхоста

В рамблер-почте убунта, например.

facepalm.jpg больше мне сказать нечего.

Что за чушь? Ты бы выяснил сначала, а потом чушь нес. Ты, видимо, ни разу сервер не держал серьезный и не ставил Ubuntu server, так что лучше сиди и помалкивай.

Почитай для начала это и это, например, а вообще, Ubuntu Server, как серверный дистрибутив, самая наиприятнейшая штука, и, в отличии от тебя, мне приходилось одминисть достаточно популярный ресурс.

вот и я о том - админ бубунты юзает постоянно sudo с дырой, а админ debian'а этим дырявым sudo не пользуется в большинстве случаев

этот баг давно исправлен, и он был не критичен - его можно было использовать только при специальных условиях, а вот брутфорс для пользователя root - никто не отменял

По умолчанию в серверной инсталляции Debian обычно sudo и нету

по-умолчанию много чего нет

И так - во всём.

ага, в серверной инсталляции Debian наверное обычно нет apache, php, postgre, bind, libxml2 и т.д., просто идеально защищенный сервер

Почитай для начала это и это, например

это ты своему будущему работодателю показывай, мне-то зачем? я не собираюсь платить тебе с Марком денег за установку твоей бубунты.

этот баг давно исправлен, и он был не критичен - его можно было использовать только при специальных условиях

вот так всегда... Дай тогда список критичных неисправленных дыр. Ты никогда не задумывался о том, что ты являешься бетатестером стабильной ветки Debian'а? Это конечно почётно, я тоже тестирую недоделанную slackware-current в которой тоже есть и баги, и дыры, но зачем unsable в продакшен ставить?

а вот брутфорс для пользователя root - никто не отменял

1. ты устанешь брутофорсить мои пароли, типа u(leyovrgtjBbrAu3by4

2. удалённо все нормальные люди вообще запрещают вход root'а. Ибо не нужно.

ага, в серверной инсталляции Debian наверное обычно нет apache, php, postgre, bind, libxml2 и т.д., просто идеально защищенный сервер

ты сам сказал, что данные баги некритичны и давно исправлены. Не? Кстати, в серверной бубунте и в нестабильном дебе дыра из первого поста есть, а вот в стабильном дебиане её нет. О чём это говорит?

В рамблер-почте убунта, например.

и кому нужен твой мёртвый рамблер?

Подтверждаю. :) LMDE 64bit, 5.1.61-2.

Ты никогда не задумывался о том, что ты являешься бетатестером стабильной ветки Debian'а?

я еще и разработчиком являюсь, чувствую себя нормально

удалённо все нормальные люди вообще запрещают вход root'а

используют sudo? ;)

О чём это говорит?

о более старом софте в debian stable

я еще и разработчиком являюсь, чувствую себя нормально

это таким «разработчиком», который php код из mcedit по ssh прямо на серваке правит? Я тоже таким был, к счастью - давно. Теперь у меня есть тестовые сервера для опытов.

используют sudo? ;)

su. Но это уже локально. Тебе, что-бы побрутофорсить, ещё и войти как-то надо, а у меня вход удалённый всегда без пароля, по ключу.

о более старом софте в debian stable

и что в этом плохого? недоделанная juju отсутствует? как-нибудь перебьюсь, апдейтил я сотни серверов и без всякого juju, и ничего. Вот как Марк свою жужу допилит - будем посмотреть.

это таким «разработчиком», который php код из mcedit по ssh прямо на серваке правит?

нет, конечно, я вообще прикладное ПО и библиотеки имел ввиду, а не локальный php код где-то у вас на сервере, который вы редактируете

и что в этом плохого?

далеко не все багфиксы бэгпортируются, взять тот же mysql - у ниг достаточно много исправлений и улучшений постоянно коммитятся, и получить их можно только со следующим релизом

нет, конечно, я вообще прикладное ПО и библиотеки имел ввиду, а не локальный php код где-то у вас на сервере, который вы редактируете

я к тому, что на сервер надо стабильную систему ставить, которая меняется ТОЛЬКО в случае нахождения критических уязвимостей.

далеко не все багфиксы бэгпортируются, взять тот же mysql - у ниг достаточно много исправлений и улучшений постоянно коммитятся, и получить их можно только со следующим релизом

ну и зачем мне такие улучшения? Мой код, который использует новые возможности либы X не будет работать со старой версией X. Это довольно неудобно - не везде и не всегда я могу просто так взять, и проабгрейдить либу X, без риска, что что-то где-то отвалится. Такие вещи не волнуют как раз таки только админов локалхоста, у которых такой проблемы нет в принципе. Да и «улучшения» часто спорные - простой пример: использование сжатия xz вместо gzip. Оно конечно намного лучше, но и памяти кушает в сотни и тысячи раз больше, мне что, ещё и железо прикажете менять? Потому-то и использую старую и проверенную OS, где неожиданностей быть не может. И current на локалхосте - ну сломается - так сломается, хрен с ней.

Хм.

Дополнение: проверка версий MySQL поставляемых в дистрибутивах показала, что уязвимости подвержены пакеты для 64-разрядных выпусков Ubuntu Linux (с 10.04 по 12.04), OpenSuSE 12.1, Fedora 16 и Arch Linux. Не подвержены уязвимости официальные сборки с сайтов проектов, а также пакеты из состава Red Hat Enterprise Linux, CentOS, выпусков Ubuntu для 32-разрядных систем, Debian Linux (Squeeze, Lenny), Gentoo 64-bit.

Можно начинать холивар: чей дистрибутив круче :).

я к тому, что на сервер надо стабильную систему ставить, которая меняется ТОЛЬКО в случае нахождения критических уязвимостей.

Ubuntu Server LTS

ну и зачем мне такие улучшения?

вы случайно пропустили слово «багфиксы» и основную мысль - версии того же mysql просто так не скачут, и на один баг подобный тому, что мы тут обсуждали, приходятся десятки исправленных багов, и если CVE-2012-2122 исправили за один день, то исправления этих багов никто бэкпортировать не будет, часть из них - да, но далеко не все

и кому нужен твой мёртвый рамблер?

Недостаточно мертвый, чтобы сравнивать его с локалхостом.

Трагичней только та штука в grub2, которая проверяла настоящий и вводимый пароль на наличие непустой общей подстроки.

вы случайно пропустили слово «багфиксы» и основную мысль - версии того же mysql просто так не скачут, и на один баг подобный тому, что мы тут обсуждали, приходятся десятки исправленных багов

дык они не критичны, эти десятки багов...

Недостаточно мертвый, чтобы сравнивать его с локалхостом.

ну это как посмотреть... лично мне вообще глубоко поровну до рамблера, я там уже больше года не был.

дык они не критичны, эти десятки багов...

да ладно, например в версии 5.5, которая была уязвима и в дебиане, были исправлены многочисленные баги, где для запросов возвращались неверные результаты, где запрос не отрабатывал, креша и т.д., нефига себе некритичные баги :)

O_o сработало

не настроены security updates или исправление в дистрибутив еще не дошло?

Исправления ещё не вошли.

В testing уже есть

O_o сработало

Дистрибутив и версию в студию. Мы тут потестировали - на всех вариациях генты (включая разные версии кальки), на провайдерских гентах - нигде не работает.

Fedora 17 x86_64
mysqlserver 5.5.23.1

Уже в testing есть исправление. Ещё не протолкнуто в stable

Это на рабочей машине тестовая база. На боевом cерваке с debian 6 не работает.

УМНР

[16:01] fletch@helix ~\ $ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
[16:01] fletch@helix ~\ $ uname -a Linux helix 3.3.6-1-ARCH #1 SMP PREEMPT Sun May 13 10:52:32 CEST 2012 x86_64 GNU/Linux

Боян, но всё еще смешно. :))