Personally I'm not the least bit suprised to see German on security list that is for a German distribution. (After all the SuSE 6.2 manual wasn't completely translated :-) I looked at it in babelfish to see whether there was anything I would respond to it with, but there wasn't. The babelfish translation is: -- Start translation I wanted to refer only to a ' false design ' of the MySQL bug. Since the ACL von MySQL contains also the host, from which a user comes, must one either an account find, which is de-energised for the whole world, or access to one in the ACL of listed host to have. Speak: On our own server could only local user the service abuse, since it does not occur a user with remote host into the ACL. And only trustworthy people have local access. The bug is thus - appropriate adjustments in accordance with general system security presupposed - engraving, but only half so bad, as it may seem at first sight. The appropriate recommendation should be IMHO thus - presupposed one trusts the Anwedern, which have shell access to the server - all accounts to switch off, the access of non trustet remote of host to permit. ps I am connected with TcX in no way, except that I am an active user of MySQL and do not speak in this case also in the name that FR IN GbmH. -- End translation In case Rolf Haberrecker doesn't speak english (after all I don't speak German) if someone more knowledgeable than I replies to his query with something useful, I'll pass them through babelfish back again. Michael. -- National & Local Web Cache Support R: G117 Manchester Computing T: 0161 275 7195 University of Manchester F: 0161 275 6040 Manchester UK M13 9PL M: Michael.Sparks@wwwcache.ja.net On Tue, 22 Feb 2000, Michael Lupp wrote:
Hmmmm... Which language is this? I thought, it should be English. Some guys never seem to learn.
Michael
-----Ursprungliche Nachricht----- Von: Rolf Haberrecker [mailto:rolf@suse.de] Gesendet: Dienstag, 22. Februar 2000 10:33 An: suse-security@suse.de Betreff: [suse-security] [philemon@spin.de: Bitte weiterleiten (was: fwd: (MAILER-DAEMON@suse.com) failure notice)]
----- Forwarded message from Benjamin Pflugmann <philemon@spin.de> -----
Hi.
Ich wollte nur auf eine 'Fehlauslegung' des MySQL-Bugs hinweisen. Da die ACL von MySQL auch den Host beinhalten, von dem aus ein User kommt, muss man entweder einen Account finden, der fuer die ganze Welt freigeschaltet ist, oder Zugriff auf einen der in der ACL gelisteten Hosts haben.
Sprich: Auf unserem eigenen Server koennten nur lokale User den Service missbrauchen, da er kein User mit einem remote host in den ACL vorkommt. Und lokalen Zugriff haben nur vertrauenswuerdige Leute.
Der Bug ist also - entsprechende Einstellungen gemaess allgemeiner Systemsicherheit vorausgesetzt - zwar gravierend, aber nur halb so schlimm, wie es auf den ersten Blick scheinen mag.
Die entsprechende Empfehlung sollte IMHO also sein - vorausgesetzt man traut den Anwedern, die Shell-Zugriff auf den Server haben - alle Accounts abzuschalten, die Zugriff von non-trustet remote hosts erlauben.
Tschuess,
Benjamin.
PS: Ich bin mit TcX in keiner Weise verbunden, ausser dass ich ein reger Nutzer von MySQL bin und spreche in diesem Fall auch nicht im Namen der SPiN GbmH.
--=20 Benjamin Pflugmann aka Philemon philemon@spin.de Developer, Guestbook Project Manager voice: +49 941 94 65 939 SPiN GmbH http://www.spin.de fax: +49 941 94 65 938 =3D=3D=3D=3D=3D=3D=3D Web design - Java chats - Guestbooks - Java/CGI codin= g =3D=3D=3D=3D=3D=3D=3D
--xesSdrSSBC0PokLI Content-Type: application/pgp-signature
-----BEGIN PGP SIGNATURE----- Version: GnuPG v0.9.5 (GNU/Linux) Comment: For info see http://www.gnupg.org
iD8DBQE4sZFjmTjUS0P7KdYRAUtRAJ9un0yTedSXimfnphsXb4t5J4qWjgCgrP94 tkjnJk1u1vRsefIyH3gnEHE= =YOQS -----END PGP SIGNATURE-----
--xesSdrSSBC0PokLI--
----- End forwarded message -----
-- Mit freundlichen Gruessen,
Rolf Haberrecker Leiter Business Partner Programm
SuSE GmbH, Tel: +49-911-7405331 Schanzaeckerstr. 10, Fax: +49-911-7417755 90443 Nuernberg, Email: rolf@suse.de Germany WWW: http://www.suse.com/
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-security-unsubscribe@suse.com For additional commands, e-mail: suse-security-help@suse.com