分类存档:安全
MariaDB 部署包含大量敏感数据,如知识产权、国家机密、医疗保健和财务记录。HIPAA、GDPR 和其他政府法规要求更加严格的保护和披露。实现攻陷后保护被视为 DevOps 团队必备的新工具。
在 2 月 2 日于布鲁塞尔举行的首届 MariaDB Day 上,Virgil Security 的 CTO 兼联合创始人 Dmitry Dain 展示了一个基于 Virgil PureKit 安全框架的 MariaDB 演示,该框架即使数据库被攻陷,也能保护存储的密码、PII 和任何其他敏感数据——使得离线攻击者无法获取有价值的信息(在此博客文章中阅读更多关于安全优势的信息)。…
MariaDB Server 10.4 带来了许多与安全相关的变更。其中一些只是优化(例如 MDEV-15649),一些改进了现有功能使其更健壮(MDEV-15473, MDEV-7598)或更方便(MDEV-12835, MDEV-16266)。还有一些是 MySQL 兼容性功能,由我们的用户提出(MDEV-7597, MDEV-13095)。
但是,任何 MariaDB Server 用户,无论是经验丰富的资深用户还是新手,在执行第一条 SQL 语句之前做的第一件事,就是登录。向数据库服务器进行身份验证。…
我们很高兴地宣布在 HackerOne 平台启动我们的公共漏洞赏金计划
本计划的目标包含两方面
- 审查漏洞提交渠道、负责任披露指南和政策,以及我们这边的资产识别和漏洞处理流程。
- 鼓励研究人员在 MariaDB 代码中寻找漏洞,并提供一种按照负责任披露模型激励报告的方式。
目标一促使我们对 mariadb.org/about/security-policy/ 中描述的通用漏洞分类流程进行了修改。现在,我们有两种严重程度的漏洞:严重和中等,并且制定了政策,作为报告者和我们团队的指南,以确保适当的漏洞管理。…
最近,我们收到了一位用户的报告,他发现将服务器升级到带有 KPTI(内核页表隔离 - 针对 Meltdown 漏洞的补救措施)的 Linux 内核后,性能惊人地下降了 90%。(更多…)…
最近几天,关于被称为 MySQL 远程根代码执行 / 权限提升 0day 漏洞(CVE 代码 CVE-2016-6662)的问题和讨论相当多。这是一个严重的漏洞,我们鼓励每位 MariaDB Server 用户阅读以下从 MariaDB 角度出发的漏洞更新。
该漏洞可被本地和远程用户利用。通过认证连接到受影响的 MariaDB Server 版本或在其上进行 SQL 注入,都可能被用来利用该漏洞。如果成功,可以加载并以 root 权限执行库文件。…
最近发现了一个名为 DROWN 的严重漏洞。该漏洞存在于支持 SSLv2 的系统中。SSLv2 中存在一个缺陷,可用于解密通过较新 SSL 协议(如 TLS)传输的信息。有关 CVE 编号为 CVE-2016-0800 的 DROWN 漏洞的更多信息可在以下链接找到
去年 12 月,Sergei Golubchik 写了一篇关于MariaDB 中 SSL 的现状的博客文章,解释了 MariaDB 的各个版本中使用了哪些版本的 SSL 加密以及从 MySQL 继承了什么。…