สอบถามเรื่อง MySQL User-Defined Functions...
PongZung 25 Aug 2014
คือว่ามีหน่วยงานเข้ามาตรวจสอบช่องโหว่
แล้วเจอตัวนึง ผมไม่ค่อยเข้าใจ ว่ามันคืออะไรและแก้ไขยังไง รบกวนผู้รู้หน่อยครับ
ปล.ผมพอจับทางว่ามันคือการเปิดอิสระ ในการให้สร้างฟังก์ชั่นได้เองในทุกๆยูซเซอร์
แต่จะปิดหรือจำกัดยังไง อันนี้ผมไม่ทราบ และไม่เคยทำ ก็เลยงงๆ
ปัญหาที่พบ เรื่อง MySQL User-Defined Functions Multiple Vulnerabilities
User-defined functions in MySQL can allow a database user to cause
binary libraries on the host to be loaded. The insert privilege on
the table 'mysql.func' is required for a user to create user-defined
functions. When running on Windows and possibly ot
การแก้ที่ระบบแนะนำ
There is currently no known fix or patch to address these issues.
Instead, make sure access to create user-defined functions is
restricted.
เอกสารอ้างอิง
http://www.scip.ch/en/?nasldb.17698
ปล2.มันใช่การกำหนดสิทธิให้แต่ละ User หรือป่าวครับ ประมาณว่า root อย่าไปยุ่งกับมัน มันสำคัญ
แต่ถ้ามีใช้หลายคน ควรสร้าง User แยกออกมา ต่อให้เปิดสิทธิทั้งหมดเหมือน root ก็ควรสร้างแยกมา ไม่ควรใช้ root ร่วมกันหลายๆคน
รบกวนด้วยนะครับ ขอบคุณครับ
Edited by PongZung, 25 August 2014 - 11:39 PM.
แล้วเจอตัวนึง ผมไม่ค่อยเข้าใจ ว่ามันคืออะไรและแก้ไขยังไง รบกวนผู้รู้หน่อยครับ
ปล.ผมพอจับทางว่ามันคือการเปิดอิสระ ในการให้สร้างฟังก์ชั่นได้เองในทุกๆยูซเซอร์
แต่จะปิดหรือจำกัดยังไง อันนี้ผมไม่ทราบ และไม่เคยทำ ก็เลยงงๆ
ปัญหาที่พบ เรื่อง MySQL User-Defined Functions Multiple Vulnerabilities
User-defined functions in MySQL can allow a database user to cause
binary libraries on the host to be loaded. The insert privilege on
the table 'mysql.func' is required for a user to create user-defined
functions. When running on Windows and possibly ot
การแก้ที่ระบบแนะนำ
There is currently no known fix or patch to address these issues.
Instead, make sure access to create user-defined functions is
restricted.
เอกสารอ้างอิง
http://www.scip.ch/en/?nasldb.17698
ปล2.มันใช่การกำหนดสิทธิให้แต่ละ User หรือป่าวครับ ประมาณว่า root อย่าไปยุ่งกับมัน มันสำคัญ
แต่ถ้ามีใช้หลายคน ควรสร้าง User แยกออกมา ต่อให้เปิดสิทธิทั้งหมดเหมือน root ก็ควรสร้างแยกมา ไม่ควรใช้ root ร่วมกันหลายๆคน
รบกวนด้วยนะครับ ขอบคุณครับ
Edited by PongZung, 25 August 2014 - 11:39 PM.
voyevoda 26 Aug 2014
เข้ามางงหะๆ โนไอเดียร์ =____= เห็นมันบอกว่าไม่มีอะไรแก้ คงต้องเน้นป้องกันเอา ไม่ได้ช่วยเล้ยคำตอบหะๆ
Myner 26 Aug 2014
คุ้นๆว่ามันเป็น bug ของ mysql MySQL versions 4.0.24 and prior, 4.1.12 and prior, and 5.0.6 สามารถใช้บาง command สั่งโชว user/pass ออกมาได้ถ้าหากใช้ mysql version ตำกว่านี้น่าจะต้อง migrate ไปเวอร์ชั่นที่สูงกว่าเพื่อความปลอดภัย
PongZung 28 Aug 2014
ขอบคุณทุกท่านครับ เด๋วจะลองแก้เบื่องต้นก่อน
ขอบ่นหน่อย จริงๆเค้าก็บอกมาว่า แก้ให่ได้ถ้าไม่สะดวก หัวหน้าผมกลัวเสียหน้า บอกเด๋วแก้เองครับ
ไม่ถามผมซักคำ ว่าแก้ได้ไหม นี่ก็มาเร่งผมยิกๆๆ งานก็ล้นมืออยู่ละ
ขอบ่นหน่อย จริงๆเค้าก็บอกมาว่า แก้ให่ได้ถ้าไม่สะดวก หัวหน้าผมกลัวเสียหน้า บอกเด๋วแก้เองครับ
ไม่ถามผมซักคำ ว่าแก้ได้ไหม นี่ก็มาเร่งผมยิกๆๆ งานก็ล้นมืออยู่ละ