LINUX.ORG.RU

Очередные ошибки в phpMyAdmin


0

0

Очередной набор XSS уязвимостей был обнаружен в phpMyAdmin, что заставило разработчиков выпустить phpMyAdmin 2.11.1.2

Домашняя страница проекта: http://www.phpmyadmin.net/home_page/i...

>>> Описание уязвимости

Неплохо придумано. По количеству версий можно легко сосчитать количество найденных ошибок.

bugmaker ★★★★☆
()

Похоже, что ошибки выявляются настолько регулярно, что можно и не сообщать о них :)

anonymous_incognito ★★★★★
()

Я так и думал. Опять "в связи с уязвимостью" вышла новая версия :)

belomor
()

Честно, я когда зашел на главную - показалось что ЛОР БД откатили на пару дней назад. Так что теперь можно постить о каждом патче к phpMyAdmin?

k0l0b0k ★★
()
Ответ на: комментарий от k0l0b0k

>Так что теперь можно постить о каждом патче к phpMyAdmin?

о каждом патче - нет. а про проблемы с безопасностью забывать вредно (ИМХО)

generatorglukoff ★★
() автор топика

как в прошлой новости сказали - ожидаемо :)

anonymous
()

Как писал предсказатель eveel, "Ждём версию 2.11.1.1.1 с исправлением ошибки, допущенной при исправлении ошибки, приводящей к возможности XSS :)"

vimmer
()

Фу... Да ПыхПых - это одна сплошная дыра в безопасности всего и вся!

Его используют всякие недоноски и ублюдки.

Настоящие пацаны используют ASP.Net и IIS!

Apache+PHP+MySQL - решение для бомжей и ниудачегофф!

anonymous
()

Ох, а я думал что бекап лора пришлось доставать!

sv75 ★★★★★
()

> Очередной набор XSS уязвимостей был обнаружен в phpMyAdmin

Фух, ну хоть здесь все стабильно...

defmacro
()
Ответ на: комментарий от defmacro

Фух, ну хоть здесь все стабильно...

... глобально и наджено

anonymous
()

Там ниже про дыры в ынтырпрайзовом по самое нимагу оракеле. Стало быть, <подставить_нужный_зоопарк_языков> -- таки говно и сплошная дыра в безопасности ^_^

m57
()

Ээээ... господа быдлоко^W пых-пых-пейсатели... случаем не палитесь, ага?

Gharik
()

Сейчас какой-нибудь пионер через эту дыру ЛОР поломает, зачем было подтверждать?

anonymous
()
Ответ на: комментарий от anonymous

Кстате, недавно лор пару часов был в дауне. Неужели это было связано с предыдущей новостью про пыхпыхадмин? о_О

anonymous
()
Ответ на: комментарий от Somewho

тогда бы у пыхпыха был бы свой синдром зубочисток как у регэкспов.. тока тут зубочистка пририсовки единичек к версии по исправлению xss.. ну или как засечки на столбе..

Somewho ★★
()
Ответ на: комментарий от anonymous

>>А что такое ПХП?

ПХП - это стабильно, надёжно и глобально. Стыдно не знать.

alex_custov ★★★★★
()

Может хватит о минорных версиях вечноглякаваго пыхпыхадмина постить новости? Думал дежавю, ан нет. Покрутил колесом - бааа в конце страницы новость о предыдущем секуритификс релизе.

anonymousI
()

запарили xss с пыхпыхмудмина!

(ц) лор-somewho

Somewho ★★
()

Ухх, сколько троллей налетело-то! Ребят, да ладно вам комманду PMA ругать! У них недавно встеча была:

http://www.phpmyadmin.net/home_page/images/linuxtag/IMG_4189.JPG

гляньте, они ж синие все! Видать, забыли правило "на пьяную рожу - код не трожу"

steinburzum
()
Ответ на: комментарий от anonymous

>Настоящие пацаны используют ASP.Net и IIS! "Настоящие потсаны" дрочат в другом месте, ви ошиблись сайтом. А нормальные люди используют то что надо и то что говорит начальство/заказчик. P.S.: Сам не использую PHP + MySQL для личных нужд никогда. Perl либо Python в связке с Postgres их отлично заменяет.

anonymous
()
Ответ на: комментарий от generatorglukoff

> о каждом патче - нет. а про проблемы с безопасностью забывать вредно

ты так и собираешься спаммить лор "новостями" (тоже мне новость - дыра в пых-пых поделии) о проблемах с безопасностью?

выдайте ему квоту на одну в день! только, чур, не на весь экран. просто заряди постинг шаблона по крону в полночь. надеюсь, ты уже нарисовал шаблон? настоящий программер не делает одну работу дважды. хотя, в среде поклонников самого популярного езыга практикуется copy&paste.

anonymous
()

Мда... Уж лучше я дальше как-нибудь, без пыхпыха...

schakal
()
Ответ на: комментарий от anonymous

Очередные ынтерпрайзнутые задроты. Вы адреском ошиблись господа. Биореактор там: ==> http://antigreen.org/bioreactor
У настоящих пацанов нет компа, они жрут семычки по лестницам и стреляют мобылы и сигареты толпой в двадцать человек.
в ынтерпрайзе, если угодно рулит соляра и оракуль и ява, а уж никак не венда. Вена в серверном плане рулит в одно место: стенку.

AiFiLTr0 ★★★★★
()
Ответ на: комментарий от boombick

> Но опять-таки, это кривые руки разработчиков PMA

+1, радиус кривизны рук разработчиков ПМА вообще ни в какие рамки не лезет

FatBastard ★★
()
Ответ на: комментарий от FatBastard

> +1, радиус кривизны рук разработчиков ПМА вообще ни в какие рамки не лезет

Это такое проявление общей теории относительности: вблизи PHP и MySQL руки разработчиков искривляются.

yk4ever
()
Ответ на: комментарий от anonymous

> Настоящие пацаны используют ASP.Net и IIS!

Которые валятся на средней нагрузке.

> Apache+PHP+MySQL - решение для бомжей и ниудачегофф!

Это хоть работает на пиковых нагрузках, в отличие от... :)

Deleted
()
Ответ на: комментарий от anonymous

> Сейчас какой-нибудь пионер через эту дыру ЛОР поломает, зачем было подтверждать?

На LOR'е нет ни php, ни mysql ;)

Deleted
()
Ответ на: комментарий от Deleted

>На LOR'е нет ни php, ни mysql ;)

Ещё недавно .php в служебных адресах встретить было можно :)

KRoN73 ★★★★★
()
Ответ на: комментарий от AiFiLTr0

> view-message.jsp вас не смущает? где вы тут пых видели?
может это конспирация т.е. на сайте меппинг *.jsp файлов на PHP интерпретатор. точно. покажите стектрейс джавовый чтобы народ поверил и потянулся :)

anonymous
()
Ответ на: комментарий от anonymous

>покажите стектрейс джавовый чтобы народ поверил и потянулся :)

Бывает периодически :D Правда, это может быть тонкая симуляция ;)

http://www.linux.org.ru/group.jsp

KRoN73 ★★★★★
()
Ответ на: комментарий от Deleted

> На LOR'е нет ни php, ни mysql ;)

А это что? :

[root@shrek root]# ps -ef|grep mysql
root 214 1 0 Oct17 ? 00:00:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/run/mysql/mysql.pid
mysql 243 214 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 244 243 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 245 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 246 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 247 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 248 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 250 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 251 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 252 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock
mysql 253 244 0 Oct17 ? 00:00:00 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysql/mysql.pid --skip-locking --port=3306 --socket=/var/run/mysql/mysql.sock

anonymous
()
Ответ на: комментарий от Deleted

>Машины shrek уже давно нет - это раз. Два - под LOR Mysql не используется.

ну даже если не используется, можно же через пыхпыхадмин ломануть мускул, а через мускул уже выйти в систему и ... %)) поэтому надо от этой заразы избавляться кардинально - что бы не "не используется для лора" а "нет на сервере вообще" %)

anonizmus
()
Ответ на: комментарий от anonizmus

> пыхпыхадмин

Такого нет вообще.

> через мускул уже выйти в систему

Если мускль собран нормально(типа без всяких load data infile/outfile), то практически невозможно через него выйти в систему. Тока локальный dos устроить. Да и то - при условии невыставленных лимитов.

Deleted
()

XSS уязвимости никого отношения к языку на котором реализован проект не имеют.

Demimurych
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.