タグ

関連タグで絞り込む (0)

  • 関連タグはありません

タグの絞り込みを解除

セキュリティとmysqlに関するrryuのブックマーク (5)

  • 本当はこわいMySQLプロトコル - tmtms のメモ

    11/28 に Haskell で MySQL の Xプロトコルを実装したという話が聴ける Club MySQL というイベントがあったので参加してきました。 clubmysql.connpass.com MySQLのプロトコルの話ということで、平日の夜とは言え東京で参加者9人(発表者含む)というマニアックな集まりでした。 自分も1年前に RubyMySQL Xプロトコルを実装していたのですが、このツイートを最後に中断していたのでした。 MySQL X Protocol で Collection の追加はできるようになったが、検索がめんどくさい。条件文字列のパースはクライアントで行う必要があるんだな。— とみたまさひろ💎🐬 (@tmtms) 2017年2月20日 今回話を聞いて、無理に謎条件式文字列をパースするんじゃなくて、処理系で書きやすいように書けばいいんだという方式に目から

    本当はこわいMySQLプロトコル - tmtms のメモ
    rryu
    rryu 2017/12/01
    MySQL接続へのMITM攻撃とは。クライアント側がやられるのが予想外。
    リンク

  • MySQL 5.7.6は--secure-file-privを設定してないとWarningを吐くようになった

    いいことだと思います :) MySQL :: MySQL 5.7 Reference Manual :: 5.1.3 Server Command Options 2015-02-17T07:09:49.446585Z 0 [Warning] Insecure configuration for --secure-file-priv: Current value does not restrict locatio n of generated files. Consider setting it to a valid, non-empty path. ちなみにこのオプション、5.0.38からあるけど知名度が低い。いい加減、自分たちが何かアクションしないと誰も設定してくれないことに気付いたのかしら。。 MySQL :: MySQL 5.0 Reference Manual :: 5.1.3

    rryu
    rryu 2016/09/13
    強力すぎるFILE権限で触れるファイルの場所を制限する機能があったのか。
    リンク

  • MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662

    __ __ __ __ __ / / ___ ____ _____ _/ / / / / /___ ______/ /_____ __________ / / / _ \/ __ `/ __ `/ / / /_/ / __ `/ ___/ //_/ _ \/ ___/ ___/ / /___/ __/ /_/ / /_/ / / / __ / /_/ / /__/ ,< / __/ / (__ ) /_____/\___/\__, /\__,_/_/ /_/ /_/\__,_/\___/_/|_|\___/_/ /____/ /____/ <-- BACK TO legalhackers.com Follow @dawid_golunski ~~~~~~~~~~~~~ ExploitBox.io ~~~~~~~~~~~~~~~~ Interested in security / vulns

    rryu
    rryu 2016/09/13
    INTO OUTFILEでmy.cnfを書き換える脆弱性は2003年に対策されたけどgeneral_logを使えばまだできるよって話らしい。TRGファイルにトリガーを直接書いてrootとして実行させる技すごい。
    リンク

  • MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響

    攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。 この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在

    MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
    rryu
    rryu 2016/09/13
    set global general_log_file経由でmy.cnfに書き込めるのが問題なのならば、対応に時間がかかっているのはどう修正するのがいいのかが難しいからではないだろうか。そもそもそんなことができる時点で大分脆弱だし。
    リンク

  • MySQL 5.7.4で導入されたdefault_password_lifetimeがじわじわくる(MySQL 5.7.11でFIX!!)

    MySQL 5.7.4で導入されたdefault_password_lifetimeがじわじわくる(MySQL 5.7.11でFIX!!) 【2016/01/13 10:12】 MySQL 5.7.11でdefault_password_lifetimeのデフォルトは0に変更になりました! それ以降のバージョンであればこの記事の内容は気にする必要はありません。 日々の覚書: MySQL 5.7.11でdefault_password_lifetimeのデフォルトが0になるらしい! TL;DR default_password_lifetime= 0 を秘伝のmy.cnfに入れておくつもり。 MySQL :: MySQL 5.7 Reference Manual :: 5.1.4 Server System Variables パラメーターの意味は読んで字のごとく、「最後にパスワードが更新さ

    rryu
    rryu 2015/06/09
    年1回アプリを止めてメンテナンスしろということなのか、用途が謎過ぎる……
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.