+22 голоса |
Конструкционная недоработка в популярной СУБД MySQL может использоваться для слива конфиденциальной информации на хакерские серверы.
Первым об ошибке в механизме обмена файлами между клиентским хостом и сервером MySQL рассказал сайт Security Boulevard в прошлую пятницу, затем, более развёрнутый отчёт был опубликован в Bleeping Computer.
По данным эти источников, обнаруженный баг позволяет извлечь любую информацию с неправильно сконфигурированного веб-сервера, допускающего подключение к ненадёжным серверам, либо из приложений MySQL. Проблема возникает если оператор LOAD DATA использовать с модификатором LOCAL (в документации MySQL указывается, что такое сочетание представляет риск для безопасности).
Ряд источников утверждают, что именно эта дырка в безопасности MySQL была тайным оружием группы хакеров Magecart, благодаря которому атаки на Newegg, Infowars Store, Cathay Pacific Airways, British Airways, Ticketmaster Entertainment И Oxo International оказались столь успешными. В этих диверсиях взломщики с помощью внедряемого кода перехватывали платёжные транзакции, совершаемые между несколькими сайтами.
Большинство пользователей сложно побудить подключиться к хакерскому серверу MySQL, тем не менее серьёзность этой уязвимости не стоит преуменьшать. Поскольку MySQL применяется в массовых масштабах, в Сети можно найти немало веб-серверов с незащищенными интерфейсами управления этими базами данных.
«Администраторы веб-сайтов должны понимать, что такие страницы, даже если они не ссылаются на сторонний контент, могут быть обнаружены и взломаны злоумышленниками, — отмечает Крейг Янг (Craig Young), специалист по компьютерной безопасности из Tripwire. — Инструменты администрирования, такие как Adminer, не должны оставаться незащищенными ни при каких обстоятельствах».
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+22 голоса |