Denna delen av 99 uppdateras inte längre utan har arkiverats inför framtiden som ett museum.
Här kan du läsa mer om varför.
Mac-nyheter hittar du på Macradion.com och forumet hittar du via Applebubblan.

Kritisk säkerhetsuppdatering för OS X

Tråden skapades och har fått 42 svar. Det senaste inlägget skrevs .
Ursprungligen av eric:

Jo men visst kan man lägga htdocs på UFS men hur många gör detta? Läste om detta 2001 men trodde faktiskt att Apples apache patchar lirade...

Tjena.

Menade inte att de (Apple) åtgärdade detta 2001. Men de har hela tiden detaljerat meddelat om vad som uppdaterats sedan 10.1.

Ursprungligen av Arch@ngel:

Detaljerad info har de ju haft sedan 2001 när de släppte 10.1 . Gäller bara att ha tillgång till informationen. Typ:[email protected]

Ok, men jag är rätt säker på att Apple nyligare än 2001 fick mycket kritik för att inte säga vad en säkerhetsuppdatering egentligen fixade. Så då ändrade dom sig och började ge detaljerad info.

Men snälla nån.

Detta är ett hål som är upptäckt och fixat sedan över en vecka. Det är vansinnigt dumt att tillåta MySQL förbindelser utifrån. Så gör man helt enkelt inte. Jag förstår verkligen inte vitsen med att skicka mail till samtliga 99mac-medlemmar när detta drabbar en mycket mycket liten minoritet av användarna, som dessutom med största säkerhet redan har åtgärdat problemet.

Ciryon

Ursprungligen av Ciryon:

Men snälla nån.

Detta är ett hål som är upptäckt och fixat sedan över en vecka. Det är vansinnigt dumt att tillåta MySQL förbindelser utifrån. Så gör man helt enkelt inte. Jag förstår verkligen inte vitsen med att skicka mail till samtliga 99mac-medlemmar när detta drabbar en mycket mycket liten minoritet av användarna, som dessutom med största säkerhet redan har åtgärdat problemet.

Ciryon

Instämmer 100%!
[flamebait]Kommer 99mac också skicka ut mail till alla medlemmar vid nästa säkerhetsuppdatering?[/flamebait]

//edit: "vansinnigt dumt"? njae, skulle jag nog inte vilja påstå, men som med allt annat man öppnar upp bör man tänka sig för, wildcard däremot kan ju vara lite tokigt..

Senast redigerat 2004-12-12 01:45

håller med till 101 %

märkligt mailutskick ...

Ursprungligen av Ciryon:

Men snälla nån.

Detta är ett hål som är upptäckt och fixat sedan över en vecka. Det är vansinnigt dumt att tillåta MySQL förbindelser utifrån. Så gör man helt enkelt inte. Jag förstår verkligen inte vitsen med att skicka mail till samtliga 99mac-medlemmar när detta drabbar en mycket mycket liten minoritet av användarna, som dessutom med största säkerhet redan har åtgärdat problemet.

Ciryon

  • Medlem
  • Stockholm
  • 2004-12-12 02:09
Ursprungligen av Ciryon:

Men snälla nån.

Detta är ett hål som är upptäckt och fixat sedan över en vecka. Det är vansinnigt dumt att tillåta MySQL förbindelser utifrån. Så gör man helt enkelt inte. Jag förstår verkligen inte vitsen med att skicka mail till samtliga 99mac-medlemmar när detta drabbar en mycket mycket liten minoritet av användarna, som dessutom med största säkerhet redan har åtgärdat problemet.

Ciryon

Har tankar på att köra mysql 4.1 mha openssl - åsikter? Känner mig annars tryggast i en gosig ssh-tunnel...

  • Medlem
  • Hemmesdynge
  • 2004-12-12 11:57

Det krävs ju dessutom att man har ett hjärndött system som sparar lösenord i klartext, i filer som ligger i en publik katalog. Vi har en webbplats helt byggd på sql och php på OSXS och vem som helst får gärna läsa våra php-filer, det finns inget komprometterande där. Största säkerhetshålet här är väl forumsystemen i sig, det är ju aldrig särskilt listigt att ha lösenord liggande i klartext och dessutom i en publik katalog.

F-n spamma min inbox med en massa varningar - jag har ju inte ens en Mac!

Ursprungligen av bstark:

F-n spamma min inbox med en massa varningar - jag har ju inte ens en Mac!

Man har ett val som medlem. Du kan lätt stänga av möjligheten att inte få mail från 99mac i dina "inställningar >> redigera alternativ". Det är bara att klicka i rätt ruta. På så vis har du varken en Mac e_l_l_e_r mail från 99mac Själv har jag valt att få nyhetsbrev etc.

Åter till trådens ämne.

Senast redigerat 2004-12-12 14:15
Ursprungligen av bstark:

F-n spamma min inbox med en massa varningar - jag har ju inte ens en Mac!

Hur många varningar fick du egentligen?

I min låda damp det ner en varning.

/M

  • Medlem
  • 2004-12-12 16:18

Dang! Hur var det nu? Fixar uppdateraren om man laddat ner Apache 2 och MySQL seperat och kör det istället? Nu är min server mest av utvecklingstyp och är sällan uppkopplad mot internet men det kan ju vara snyggt att ordna till det ändå.

  • Medlem
  • 2004-12-12 17:34
Ursprungligen av Redaktionen:

99mac vill varna alla medlemmar som kör kombinationen Mac OS X Server med HFS + filsystemet och Apache webbserver att omedelbart uppdatera systemet med den senaste säkerhetsuppdateringen.

Ett hål gör det möjligt att läsa innehållet i filer som normalt exekveras, exempelvis .php filer som kan innehålla känsliga uppgifter. Vi vill uppmana dig att OMEDELBART uppdatera ditt system. Om du använder Apache 2 kan systemet kräva ytterligare ändringar för att vara säkert.

Om du inte har skyddat dina MySQL-databaser ifrån anslutningar utifrån rekommenderar vi att du omedelbart stänger denna port i din brandvägg (någon kan ha hittat mysql-uppgifter i dina .php filer).

http://docs.info.apple.com/article.html?artnum=300422

Tack till David Remahl som tipsade oss om säkerhetshålen på 99mac, vi blev minst sagt chockade.

Skrivet av: Martin Björnström

Läs mer:
http://www.99mac.se/?id=822

Hej
Jag läste hos Apple och om jag förstod rätt så är det bara en bugg i config-filen för Apache, eller? Då kan det väl inte vara ett säkerhetshål i mac os x? Och hur kommer HFS+ in i bilden?
Förklara gärna...

  • Oregistrerad
  • 2004-12-13 08:43
Ursprungligen av ln_:

Och hur kommer HFS+ in i bilden?

HFS+ har ju metadata i en resursdel, det är denna som inte styrs lika effektivt av Apache.
Ibland används resursdelen till att ha data i (även om Apple tjatat sedan åttiotiotalet att det inte är någon databas).
Systemuppdateringen lägger in "regler" för resursdelarna i Apache.

Bevaka tråden