`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Баг в MySQL был тайным оружием хакеров

+22
голоса

Баг в MySQL был тайным оружием хакеров

Конструкционная недоработка в популярной СУБД MySQL может использоваться для слива конфиденциальной информации на хакерские серверы.

Первым об ошибке в механизме обмена файлами между клиентским хостом и сервером MySQL рассказал сайт Security Boulevard в прошлую пятницу, затем, более развёрнутый отчёт был опубликован в Bleeping Computer.

По данным эти источников, обнаруженный баг позволяет извлечь любую информацию с неправильно сконфигурированного веб-сервера, допускающего подключение к ненадёжным серверам, либо из приложений MySQL. Проблема возникает если оператор LOAD DATA использовать с модификатором LOCAL (в документации MySQL указывается, что такое сочетание представляет риск для безопасности).

Ряд источников утверждают, что именно эта дырка в безопасности MySQL была тайным оружием группы хакеров Magecart, благодаря которому атаки на Newegg, Infowars Store, Cathay Pacific Airways, British Airways, Ticketmaster Entertainment И Oxo International оказались столь успешными. В этих диверсиях взломщики с помощью внедряемого кода перехватывали платёжные транзакции, совершаемые между несколькими сайтами.

Большинство пользователей сложно побудить подключиться к хакерскому серверу MySQL, тем не менее серьёзность этой уязвимости не стоит преуменьшать. Поскольку MySQL применяется в массовых масштабах, в Сети можно найти немало веб-серверов с незащищенными интерфейсами управления этими базами данных.

«Администраторы веб-сайтов должны понимать, что такие страницы, даже если они не ссылаются на сторонний контент, могут быть обнаружены и взломаны злоумышленниками, — отмечает Крейг Янг (Craig Young), специалист по компьютерной безопасности из Tripwire. — Инструменты администрирования, такие как Adminer, не должны оставаться незащищенными ни при каких обстоятельствах».


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT