On Tue, Feb 22, 2000, Rolf Haberrecker [rolf@suse.de] wrote: Well, I hope you understand my english, I'm trying my best ;) If I'm doing any false translation here, someone please correct. Here we go:
----- Forwarded message from Benjamin Pflugmann
----- Hi.
Ich wollte nur auf eine 'Fehlauslegung' des MySQL-Bugs hinweisen. Da die ACL von MySQL auch den Host beinhalten, von dem aus ein User kommt, muss man entweder einen Account finden, der fuer die ganze Welt freigeschaltet ist, oder Zugriff auf einen der in der ACL gelisteten Hosts haben.
I just wanted to point out a 'misinterpretation' of the MySQL-Bug. Since the ACL of MySQL contains also the host from which a user comes, you have to find either an account which is open to the whole world or have access to a host whicht is listed in the ACLs.
Sprich: Auf unserem eigenen Server koennten nur lokale User den Service missbrauchen, da er kein User mit einem remote host in den ACL vorkommt. Und lokalen Zugriff haben nur vertrauenswuerdige Leute.
Say: On our own server, only local users could abuse the service since there is no user with a remote host in the ACLs. And only trustworthy people have local access.
Der Bug ist also - entsprechende Einstellungen gemaess allgemeiner Systemsicherheit vorausgesetzt - zwar gravierend, aber nur halb so schlimm, wie es auf den ersten Blick scheinen mag.
So the bug is - provided that settings according to general system security have been made - in fact serious, but only half as worse as it seems at first sight.
Die entsprechende Empfehlung sollte IMHO also sein - vorausgesetzt man traut den Anwedern, die Shell-Zugriff auf den Server haben - alle Accounts abzuschalten, die Zugriff von non-trustet remote hosts erlauben.
The corresponding recommendations should IMHO be - provided that you trust the users whivh have shell access to the host - to disable all accounts which allow access from non-trusted hosts.
Tschuess,
Benjamin.
Bye, Benjamin
PS: Ich bin mit TcX in keiner Weise verbunden, ausser dass ich ein reger Nutzer von MySQL bin und spreche in diesem Fall auch nicht im Namen der SPiN GbmH.
PS: I am in no way related to TcX except that I actively use MySQL. I am also not speaking for SPiN GmbH in this matter.