[mySQL] Grosso problema di SICUREZZA!

ferro75 · 06-11-2005, 11:39

Ho creato un utente generico con diritto di SELECT su un solo database e diritti di INSERT e UPDATE su qualche tabella di quel database, ovviamente l'utente non aveva nessun diritto globale, tantomeno SHUTDOWN.
Poi ho provato a connettermi tramite mySQL ADMINISTRATOR usando questo utente generico e ovviamente non mi faceva vedere i dettagli degli USER registrati e tra gli schema potevo vedere solo il db a cui l'utente è registrato, ma tutto il resto era attivo.
Ho quindi provato a fare uno SHUTDOWN del server e me lo ha fatto! E lo ha anche riavviato!
Come è possibile?

ferro75 · 07-11-2005, 20:40

Nessuno ha provato se succede solo a me?

Napolux · 08-11-2005, 08:03

provato a chiedere su qualche forum o newsgroup + specifico?

pinok · 08-11-2005, 12:45

Ma lo shutdown del serve non viene fatto dall'utente del sistema operativo?
Non sapevo che anche l'utente mysql potesse intervenire nel servizio, indipendentemente dai diritti.
Mi dici la sintassi ?

cionci · 08-11-2005, 15:08

Lo shutdown lo può fare anche un utente...

Che versione di DB hai ?

Quote:

23.2.3.62. mysql_shutdown()

int mysql_shutdown(MYSQL *mysql, enum enum_shutdown_level shutdown_level)

Description

Asks the database server to shut down. The connected user must have SHUTDOWN privileges. The shutdown_level argument was added in MySQL 5.0.1. MySQL 5.0 servers support only one type of shutdown; shutdown_level must be equal to SHUTDOWN_DEFAULT. Additional shutdown levels are planned in order to make it possible to choose the desired level. Dynamically linked executables which have been compiled with older versions of the libmysqlclient headers and call mysql_shutdown() need to be used with the old libmysqlclient dynamic library.

The shutdown process is described in Section 5.5, “The MySQL Server Shutdown Process”.

Return Values

Zero for success. Non-zero if an error occurred.

Errors

*

CR_COMMANDS_OUT_OF_SYNC

Commands were executed in an improper order.
*

CR_SERVER_GONE_ERROR

The MySQL server has gone away.
*

CR_SERVER_LOST

The connection to the server was lost during the query.
*

CR_UNKNOWN_ERROR

An unknown error occurred.

ferro75 · 08-11-2005, 17:25

Mi hanno spiegato su un altro forum che usando quel programma è l'utente del S.O. che fa lo shutdown, quindi se uno è administrator può spegnere anche se è loggato a MySQL come un utente limitato.

06-11-2005, 11:39	#1
ferro75 Senior Member Iscritto dal: Aug 2000 Città: In mezzo alla pianura Padana Messaggi: 2160	[mySQL] Grosso problema di SICUREZZA! Ho creato un utente generico con diritto di SELECT su un solo database e diritti di INSERT e UPDATE su qualche tabella di quel database, ovviamente l'utente non aveva nessun diritto globale, tantomeno SHUTDOWN. Poi ho provato a connettermi tramite mySQL ADMINISTRATOR usando questo utente generico e ovviamente non mi faceva vedere i dettagli degli USER registrati e tra gli schema potevo vedere solo il db a cui l'utente è registrato, ma tutto il resto era attivo. Ho quindi provato a fare uno SHUTDOWN del server e me lo ha fatto! E lo ha anche riavviato! Come è possibile? __________________ Ryzen 5700 X3D + Aorus B550 Elite + 32 Gb DDR4 3600 + RX6800 ref. + Sharkoon SilentStorm 650W

07-11-2005, 20:40	#2
ferro75 Senior Member Iscritto dal: Aug 2000 Città: In mezzo alla pianura Padana Messaggi: 2160	Nessuno ha provato se succede solo a me? __________________ Ryzen 5700 X3D + Aorus B550 Elite + 32 Gb DDR4 3600 + RX6800 ref. + Sharkoon SilentStorm 650W

08-11-2005, 08:03	#3
Napolux Senior Member Iscritto dal: May 2003 Città: Giussano (MI) Messaggi: 945	provato a chiedere su qualche forum o newsgroup + specifico? __________________ Napolux Il mio sito web

08-11-2005, 17:25	#6
ferro75 Senior Member Iscritto dal: Aug 2000 Città: In mezzo alla pianura Padana Messaggi: 2160	Mi hanno spiegato su un altro forum che usando quel programma è l'utente del S.O. che fa lo shutdown, quindi se uno è administrator può spegnere anche se è loggato a MySQL come un utente limitato. __________________ Ryzen 5700 X3D + Aorus B550 Elite + 32 Gb DDR4 3600 + RX6800 ref. + Sharkoon SilentStorm 650W

08-11-2005, 12:45	#4
pinok Senior Member Iscritto dal: Jun 2001 Città: Alessandria (provincia) Messaggi: 4772	Ma lo shutdown del serve non viene fatto dall'utente del sistema operativo? Non sapevo che anche l'utente mysql potesse intervenire nel servizio, indipendentemente dai diritti. Mi dici la sintassi ?

Strumenti
Mostra una versione stampabile Invia questa pagina per email