gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Alerta de segurança: phpMyAdmin
Contribuído por jmce em 27-08-00 21:39
do departamento não-vale-espreitar
php Numa lista de email dedicada ao MySQL, Michael Widenius alertou os utilizadores do phpMyAdmin para o risco que resulta de esta ferramenta exigir permissão de leitura em todas as colunas da tabela mysql.user. A password cifrada nela presente é a "verdadeira" password em MySQL, cifrada apenas para não deixar adivinhar a password original, mas não destinada a ser livrevemente legível.
Nessas condições, será fácil conceber um cliente capaz de atacar os servidores MySQL expostos. O risco de deixar legível toda a tabela mysql.user deveria ser óbvio, mas perante o descuido no phpMyAdmin já foram acrescentados à documentação do MySQL avisos bastante explícitos. O problema poderá ser contornado proibindo o acesso apenas à coluna de passwords, mas aparentemente o phpMyAdmin terá de ser alterado para poder funcionar convenientemente nessas condições.

DeCSS unplugged | Bill "Gueites" no karaokê  >

 

gildot Login
Login:

Password:

Referências
  • avisos
  • MySQL
  • Michael Widenius
  • phpMyAdmin
  • Mais acerca php
  • Também por jmce
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Mailing List (Pontos:1)
    por BipBip em 28-08-00 18:26 GMT (#1)
    (Utilizador Info) Http://BipBip.XpTo.OrG
    já agora podias dizer qual a ML ?
    Do not phear them, phear me because i'm lame. ~:o)=
    Re:Mailing List (Pontos:1)
    por jmce em 28-08-00 20:23 GMT (#2)
    (Utilizador Info)
    Sorry pelo descuido. Informação sobre as listas relativas ao MySQL pode ser vista em http://www.mysql.com/documentation/li sts.html. Vi esta mensagem na lista announce. Como não sei se há arquivos delas online, aqui vai a mensagem original:
    From: Michael Widenius <monty@mysql.com>
    Date: Thu, 24 Aug 2000 12:17:41 +0300 (EEST)
    To: announce@lists.mysql.com, mysql@lists.mysql.com
    Subject: Security alert: phpmyadmin

    Hi!

    It has come to our attention that to use phpmyadmin one should set
    up MySQL to allow read on all columns in the mysql.user table.

    This is however very dangerous as if one knows the context of the
    password field in the above table, one can easily make a modified
    client that uses this to connect to the MySQL server.

    The encrypted password is the real password in MySQL; The password is
    only encrypted to not let one guess your real password; It was
    however never meant to be made readable to all! Unfortunately we
    thought it was obvious that one shouldn't give full read access to the
    mysql.user table that we didn't document this properly :( We have now
    corrected this in the current manual by adding a lot of warnings about
    this! (The web pages are already updated about this).

    We strongly suggest that all phpmyadmin users and others that have
    given a normal user full access to the mysql.user table change this so that
    you are not giving access to the password column to anyone else than
    your system administrator!

    One workaround for this problem is to only give access to all columns
    except the password column in the mysql.user table, but one would have
    to do some changes in phpmyadmin to get everything to work after this
    change.

    We have already have contact with the phpmyadmin author about this and
    he should update the documentation about this in the next phpmyadmin
    release.

    Regards,
    Monty
    [pena não se poder usar a tag <pre>... :)]
    Re:Mailing List (Pontos:1)
    por lucipher em 29-08-00 19:50 GMT (#3)
    (Utilizador Info) http://www.leetcode.org
    viva bipbip! eu inscrevi me numa, em www.mysql.com.br esprimenta tu ;-)

     

     

    [ Topo | FAQ | Editores | Contacto ]