Problemas en MySQL, varias distros afectadas
Como señalan en MuyComputerPRO, varios exploits para un fallo de autenticación en MySQL se están extendiendo en diversos canales en Internet, en parte porque este error es especialmente sencillo de aprovechar para ganar acceso root a la base de datos.
El único factor que disminuye su peligrosidad es el hecho de que depende de la librería C con la que se implementó MySQL. Este “bypass” del sistema de contraseñas tiene ya asignada un código de vulnerabilidad, la CVE-2012-2122, y permite que un atacante logre acceso root a la base de datos repitiendo varias veces el intento de acceder a dicha cuenta con una contraseña incorrecta.
La vulnerabilidad ha sido detallada por el coordinador de seguridad de MariaDB -un fork de MySQL, y se debe a un error en el llamado error de casting al comparar la contraseña esperada con la contraseña introducida.
Hay un buen montón de distribuciones afectadas por el problema -Ubuntu, openSUSE y Fedora entre ellas- y tenéis más detalles sobre este problema en la noticia original, en MuyComputerPRO.
All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are
vulnerable.
A revisar las versiones que cada uno tenga instalada.
El que tenga alguna de estas:
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.
No está afectado.
El que tenga alguna afectada a poner el actualizador de software de su distribución a funcionar.
Gracias por el dato!
Yo por ahora con Windows 7 no he tenido ningún problema.
Un saludo
Y cómo lo sabes?
xD +1
yo con mi calculadora no tengo problemas!!! (mode bazzinga: on) ajajajaaja,
Ozú, vaya consuelo, Ubuntu, Fedora, OpenSuse…
So far, 64-bit versions of Ubuntu Linux (10.04, 10.10, 11.04, 11.10 and 12.04), OpenSuSE 12.1 64-bit, Fedora 16 64-bit and Arch Linux have been found to have vulnerable MySQL releases. Debian, RHEL, CentOS and Gentoo, among others, have been found not to be vulnerable.
Admito que sólo vengo aquí, en este caso particular, a opinar sin fuertes fundamentos, así que acepto cualquier refutación justificada.
Prefiero PostgreSQL a MySQL, de pronto porque nunca he tenido la necesidad de usar bases de datos grandes, no sé. La licencia de PostreSQL incluso me agrada más.
Saudos.
un poco de info para que opines mejor para la otra!!! ajajjaja!!1
http://es.wikipedia.org/wiki/PostgreSQL
Nah, wikipedia es horrible.
Pero igual es una buena razón, lo justo. Mejor me meto al sitio principal a leer con más detenimiento.
Lo que sí sostengo es que la licencia de PostgreSQL es simple, como deben ser las licencias aprovadas por la Open Source Initiative.
Saludos.
*aprobadas :P (esto no es portugês).
Ahora, por qué wikipedia es horrible?
Bueno…
Lo único bueno que tiene son las fuentes para verificar la veracidad de las mismas, pero el resto es un acervo de texto que comprende dichas fuentes, que está a veces armado de manera incohesiva. A veces dentro del mismo texto de un artículo expecífico en wikipedia hay fechas de nacimiento o de defunción que no son correctas, o hay oraciones consecutivas que no tienen cohesión entre sí, o bien están descritos de tal manera que algunos moderadores, no permiten algunas modifcaciones a los textos de conceptos que son históricamente correctos, por dejar otros que obedecen a las afliciaciones políticas de los propios moderadores.
Entonces por algunas de esas razones, considero que Wikpedia por sí sola carece en algunos aspectos de veracidad informativa y lo mejor que se debe hacer es verificar la información de la misma en las fuentes, y verificar la veracidad de las mismas fuentes con otras fuentes.
No tiene nada que ver con si es libre o no, punto.
Saludos.
¿Entoces implícitamente dices que PostgreSQL es para base de datos pequeñas?
Issac,
Como lo dije, no lo sé. Esta pregunta, me temo, esa planteada desde un punto de vista tangencial y parece más bien un malentendido innecesario, no sé por qué lo empiezas. Vengo humildemente a decir que no sé mucho, pero las justificaciones que encuentro hasta ahora son ganas de molestarme, lo cual es divertido, si me preguntas :P .
No, para nada. Simplemente nunca he PostgreSQL usado para bases de datos grandes, no tengo mucho conocimiento en el asunto, y como dije arriba, no reclamo nada ni afirmo nada.
Siempre es lo mismo en cualquier lugar que se hable de Open Source Software, siempre está ese relativamente pequeño grupo de gente cáustica y vitriólica por todos lados, que ya ni me sorprende. Hay cosas del Free Software y la FSF que no andan bien, pues se tienen en cuenta.
Sin embargo, tengo fundamentos para preferir la licencia BSD o semejantes y la GPLv2, que la GPLv3, pero eso es otro asunto y da pereza tocarlo por estos lados. Eso es lo que pasa cuando hay más política que trabajo.
Saludos.
Brevemente: La licencia GPL y BSD pretenden cosas parecidas pero a la vez distintas. Ninguna es mejor que otra, ahora, a mi la GPL me parece más restrictiva en cuanto a que tiene ciertas obligaciones (morales) a pesar de que se vende como más libre, ¿libre para qué?, por otro lado también promueve la difusión de conocimiento (que no siempre se transforma en una mejora plausible para la comunidad), cosa que no tiene por qué hacerlo una BSD, MIT, etc. Cada uno que elija la que más le convenga pero venir a defender una u otra es un sin sentido, de fanboys.
Envi,
Exactamente, por eso sólo dije preferencia. No estoy en contra de toda iteración de la GPL. Estoy es preocupado por la GPLv3, me tiene espantado, creo que es algo excesivo y con mucha carga ideológica por delante, que no ayudará a resolver problemas.
Sin embargo, preferencia aparte, creo que tienes toda la razón.
Saludos.
¿Por este problema es que se obtuvieron las passwords de Lastfm, eHarmony?
Para que no sea tan evidente que esto es muyubuntu.com, deberias poner el CVE como corresponde
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2122
Y no el de launchpad de ubuntu
esto en la españa profunda se denominaria:
ZAS en toda la boca.
En resumen: toque o no toque, Ubuntu que te meto, Aniceto.
hooombre, anacleto. mucho estabas tardando.
me preguntaba donde estaria el abogado del diablo.
dario tiene razon, que ya no nos vale con meter ubuntu hasta con vaselina sino que ahora resulta que los logros, etc de otros son de ubuntu y su equipo.
Ya ves. Pero te has confundido, Aniceto soy yo, y anacleto eres tú, y no es lo mismo.
:D :D :D
¿O te hablas a ti mismo?
cachis en diesss, anicetoooo, me confundi de nombre.
mira que te dicho veces que no me cambies las pastillas del alzeimer con las del ubuntu, que me pongo malo y soy capaz de instalar la 12.04.