Kirjaudu ▼
Kolumni
Valedemokratiaa vaaliuurnilla
Anna Mård
 

MySQL:n moka vesitti vahvatkin salasanat

MySQL:n moka vesitti vahvatkin salasanat
MySQL:n ja MariaDB:n haavoittuvuus iski tietokantaan kirjautumisen ytimeen. Ongelma teki tunkeutumisesta yksinkertaista.
LinkedIn
Lisää suosikkeihin

Henkilökohtaiselle suosikkilistalle tallentaminen vaatii kirjautumista.

KirjauduRekisteröidy
KommentoiKommentoi
Lähetä kaverilleLähetä
Tulosta (HTML)Tulosta (HTML)
Tallenna (PDF)Tallenna (PDF)
Tuomas Linnake
Tuomas Linnake
13.6.2012 13:58
21

Suositusta tietokantaohjelmistosta MySQL:stä ja sen sukulaisesta MariaDB:stä on paikattu eriskummallinen ja vakava virhe. Ongelman vuoksi haavoittuva järjestelmä saattaa hyväksyä minkä tahansa salasanan joka 256:s kerta.

– Jos haavoittuvuus on olemassa, onnistuneen luvattoman kirjautumisen todennäköisyys on 1/256, joten salasanatarkistuksen ohittaminen on käytännössä hyvin helppoa, Viestintäviraston Cert-fi-yksikkö hahmottaa.

Tietoturvayhtiö Sophos lisää, että vaikka käyttäjällä olisi hyvin vahva salasana, joka on "suolattu ja tiivistetty tuhansia kertoja", hän on silti vaarassa.

Haavoittuvuus mahdollistaa tietokantaan kirjautumisen tunnetulla käyttäjätunnuksella millä tahansa salasanalla, jos ohjelmisto on käännetty tietyssä ympäristössä tietyllä ohjelmakirjastolla.

∇ Mainos, artikkeli jatkuu alempana ∇ ∇ Artikkeli jatkuu ∇

MariaDB ja MySQL ovat haavoittuvia seuraavasti:

Versiot 5.1.x versioon 5.1.61 asti.
Versiot 5.2.x versioon 5.2.11 asti.
Versiot 5.3.x versioon 5.3.5 asti.
Versiot 5.5.x versioon 5.5.22 asti.

Yritykset Sophos
Lisää Aiheesta

MySQL:n isä: Tietokanta ei ole enää ”open source”

23.11.2012 10:02

Hakkeri: Huawein reititin on reikäjuusto

31.7.2012 13:55

Setan keskustelijoiden salasanoja julkaistiin

28.6.2012 09:32

Vasta korjattuun IE-aukkoon riittää tunkua

19.6.2012 12:59

Microsoft varoittaa IE:stä, siivoaa Flamen sotkuja

13.6.2012 11:13

Haavoittunut OpenX sai laastarin

11.5.2012 23:38
Näytä lisää (1)
Copyright Creative Commons Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
Lisää suosikkeihin

Henkilökohtaiselle suosikkilistalle tallentaminen vaatii kirjautumista.

KirjauduRekisteröidy
KommentoiKommentoi
Lähetä kaverilleLähetä
Tulosta (HTML)Tulosta (HTML)
Tallenna (PDF)Tallenna (PDF)
LinkedIn

Kommentit (21)

Sivut: 1 2 3
EdellinenSeuraava

Anonyymi
 0  0
Asiaton viesti Lainaa
Mites nyt noin, eikös kukaan huomannut avoimesta koodista moista lapsusta?


Huomasi. Etkö lukenut artikkelia?
Nimetön 13.6.2012 14:40

Anonyymi
 0  0
Asiaton viesti Lainaa
Mites nyt noin, eikös kukaan huomannut avoimesta koodista moista lapsusta?
Nimetön 13.6.2012 14:42

Anonyymi
 0  0
Asiaton viesti Lainaa
Miten 14:42 jätettyyn kommenttiin on voitu vastata jo 14:40?
Toimitus taas asiall 13.6.2012 14:46

Anonyymi
 0  0
Asiaton viesti Lainaa
Yritäpä lainata tätä viestiä, es-jonne


No mutta sehän käy helposti, kun asuu vain eri aikavyöhykkeellä.
es-jonne 13.6.2012 15:36

Anonyymi
 0  0
Asiaton viesti Lainaa
En ole koskaan pitänyt MySQLlästä. Buginen, sekava ja aina löytyy jotain aukkoja
Nimetön 13.6.2012 15:36

Anonyymi
 0  0
Asiaton viesti Lainaa
Yritäpä lainata tätä viestiä, es-jonne
Yritäppä vain 13.6.2012 15:37

Anonyymi
 0  0
Asiaton viesti Lainaa
Yritäpä lainata tätä viestiä, es-jonne
Niinpä 13.6.2012 15:39

Anonyymi
 0  0
Asiaton viesti Lainaa
Ja MSSQL ei muka ole buginen, sekava, aukkoinen ja vieläpä erittäin raskas.
Ja miksikö niitä päivityksiä ja korjauksia tehdään? Eipä vaadi minulta toimenpiteitä; päivitykset kunnossa.
Päivittäjä 13.6.2012 16:35

Anonyymi
 0  0
Asiaton viesti Lainaa
Ja MySQL ei muka ole buginen, sekava, aukkoinen ja vieläpä erittäin raskas.
Ja miksikö niitä päivityksiä ja korjauksia tehdään? Eipä vaadi minulta toimenpiteitä; päivitykset kunnossa.


Jep. Mysli sukkaa, ei se ole edes oikea tietokanta.
jorma 13.6.2012 17:31

Anonyymi
 0  0
Asiaton viesti Lainaa
En ole koskaan pitänyt MySQLlästä. Buginen, sekava ja aina löytyy jotain aukkoja


Mihinkään täysin kriittiseen ympäristöön sitä ei todellakaan voi suositella. Sekä MyISAM- että InnoDB-moottoreissa on outoja bugeja, jotka saattavat tuottaa duplikaattirivejä tai jättää rivin kirjoittamatta. Pahinta on, että nämä ovat erittäin satunnaisia (~1 virhe / 10000 kirjoitusta kantaan).
Erno 13.6.2012 18:21
Sivut: 1 2 3
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Uutisotsikot

Reuters: DNA:n myyntihinta yli miljardin

21.5. 10:55 Reuters 3

Työryhmä ehdottaa henkilöautojen tilalle miljoonaa robottibussia

21.5. 10:44 Tero Lehto 9

Angry Birdsin kehittäjät palkittiin

21.5. 10:17 It-viikko 1

Jollan ennakkotilaajat hankkivat sian säkissä

20.5. 17:42 Perttu Pitkänen 140

Jolla-puhelimessa peruspalikat, koukkuna irtomoduuli

20.5. 14:48 It-viikko 16

Ihmeteinit Intelin kisassa: Pikalatausta kännykkään ja älliä autoon

20.5. 15:39 It-viikko 1

Suomalaisten kännykät yllättävät: Mustavalkoista ja älytöntä

20.5. 13:15 Perttu Pitkänen 7

Paljon puhuttu rajaton data piilottelee kiven alla

20.5. 12:44 It-viikko 3

Vaarana pomon vakoilu: Työsuhdepuhelimen pimeä puoli

20.5. 09:51 Ari Saarelainen 2

Financial Timesin vuoro kärsiä Syyrian kybervandaaleista

20.5. 10:28 It-viikko 0

Nordean tietomurto kesti kuukausia – tuttu mies asialla

17.5. 15:44 It-viikko–Taloussanomat 7

Taas yt-neuvottelut – Tiedossa 180 työpaikkaa tulilinjalla

17.5. 14:41 Antti karjalainen 11

"Hämmästyttävä" hirviökone: HP ja SAP rakentavat Krakenia

17.5. 14:15 It-viikko 5

Galaxy S4:n myyntivauhti hirvittää

17.5. 13:40 It-viikko 14

Valtaosa väestä lähti: Alson toiminta tökkii tänään

17.5. 10:41 Tuomas Linnake 5

App Storen palkintorahat Brandonille, Google vaanii Applen imussa

17.5. 12:13 It-viikko 0

Syyttäjä lähti Pirate Bayn verkko-osoitteiden perään

17.5. 09:27 It-viikko 7
Lisää uutisia

 
Viikon luetuimmat
Linuxin ydin murrettu, hyökkäyskoodi leviää
It-viikko
Suuri it-tukkuri yt-neuvottelee: 80 työpaikkaa vaarassa
Tuomas Linnake
Intelin pomo katuu: iPhone oli menetetty tilaisuus
It-viikko
"Hämmästyttävä" hirviökone: HP ja SAP rakentavat Krakenia
It-viikko
Jolla-puhelimessa peruspalikat, koukkuna irtomoduuli
It-viikko
Viikon kommentoiduimmat
Päivä historiassa
21.5.2012
Yle Areena tulee Lumiaan
It-viikko
21.5.2009
Sony uskoo suojaamattomaan lähisiirtoon
Tuomas Linnake
21.5.2008
Sähköpostiummikkoja piisaa Yhdysvalloissa
Tuomas Linnake
21.5.2007
Suomalaisyritykset karttavat mobia
Aleksi Moisio
Dilbert on muuttanut. Lue Dilbert Taloussanomien etusivulta