----- Forwarded message from Benjamin Pflugmann -----
Hi.
Ich wollte nur auf eine 'Fehlauslegung' des MySQL-Bugs hinweisen. Da
die ACL von MySQL auch den Host beinhalten, von dem aus ein User
kommt, muss man entweder einen Account finden, der fuer die ganze Welt
freigeschaltet ist, oder Zugriff auf einen der in der ACL gelisteten
Hosts haben.
Sprich: Auf unserem eigenen Server koennten nur lokale User den
Service missbrauchen, da er kein User mit einem remote host in den ACL
vorkommt. Und lokalen Zugriff haben nur vertrauenswuerdige Leute.
Der Bug ist also - entsprechende Einstellungen gemaess allgemeiner
Systemsicherheit vorausgesetzt - zwar gravierend, aber nur halb so
schlimm, wie es auf den ersten Blick scheinen mag.
Die entsprechende Empfehlung sollte IMHO also sein - vorausgesetzt man
traut den Anwedern, die Shell-Zugriff auf den Server haben - alle
Accounts abzuschalten, die Zugriff von non-trustet remote hosts
erlauben.
Tschuess,
Benjamin.
PS: Ich bin mit TcX in keiner Weise verbunden, ausser dass ich ein
reger Nutzer von MySQL bin und spreche in diesem Fall auch nicht im
Namen der SPiN GbmH.
--=20
Benjamin Pflugmann aka Philemon philemon@spin.de
Developer, Guestbook Project Manager voice: +49 941 94 65 939
SPiN GmbH http://www.spin.de fax: +49 941 94 65 938
=3D=3D=3D=3D=3D=3D=3D Web design - Java chats - Guestbooks - Java/CGI codin=
g =3D=3D=3D=3D=3D=3D=3D
--xesSdrSSBC0PokLI
Content-Type: application/pgp-signature
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v0.9.5 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE4sZFjmTjUS0P7KdYRAUtRAJ9un0yTedSXimfnphsXb4t5J4qWjgCgrP94
tkjnJk1u1vRsefIyH3gnEHE=
=YOQS
-----END PGP SIGNATURE-----
--xesSdrSSBC0PokLI--
----- End forwarded message -----
--
Mit freundlichen Gruessen,
Rolf Haberrecker
Leiter Business Partner Programm
SuSE GmbH, Tel: +49-911-7405331
Schanzaeckerstr. 10, Fax: +49-911-7417755
90443 Nuernberg, Email: rolf@suse.de
Germany WWW: http://www.suse.com/