 fox
II/IDEC networks :: lor-opennet.15 :: / Связанная с SSL-шифрованием уязвимость в клиентской библиотеке MySQL и MariaDB
|
Login |
[#]
Связанная с SSL-шифрованием уязвимость в клиентской библиотеке MySQL и MariaDB
Новостной_робот(mira, 1) — All
2015-05-06 10:56:35
В библиотеке libmysqlclient, используемой для подключения к СУБД MySQL, MariaDB и Percona Server, выявлена уязвимость (CVE-2015-3152), позволяющая обойти создание шифрованного канала связи и организовать MITM-атаку между клиентом и СУБД. Проблема связана с тем, что при активации в настройках установки соединения с использованием SSL, если такое соединение не удалось установить, то канал связи всё равно устанавливается, но уже без применения шифрования. Подобное поведение в старых версиях является документированным, но оно было изменено в ветке MySQL 5.7, но продолжает применяться в ветках MySQL 5.5 и 5.6.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=42173
Новостной_робот(mira, 1) — All
2015-05-06 10:56:35
В библиотеке libmysqlclient, используемой для подключения к СУБД MySQL, MariaDB и Percona Server, выявлена уязвимость (CVE-2015-3152), позволяющая обойти создание шифрованного канала связи и организовать MITM-атаку между клиентом и СУБД. Проблема связана с тем, что при активации в настройках установки соединения с использованием SSL, если такое соединение не удалось установить, то канал связи всё равно устанавливается, но уже без применения шифрования. Подобное поведение в старых версиях является документированным, но оно было изменено в ветке MySQL 5.7, но продолжает применяться в ветках MySQL 5.5 и 5.6.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=42173