تریتا نیوز

منو اصلی

  • صفحه اصلی
  • اقتصاد
  • واریته
  • سلامت
  • درباره ما

logo

  • صفحه اصلی
  • اقتصاد
  • واریته
  • سلامت
  • درباره ما
  • عملیات نصب تجهیزات پروژه اوره پتروشیمی هنگام تا پایان شهریورماه به اتمام می‌رسد

  • جهش درآمدی ۶۶.۳ درصدی پتروشیمی بوعلی سینا در بهار ۱۴۰۴

  • جهش درآمدی و سودآوری بانک سامان در سال ۱۴۰۳

  • راه کارهای عملی در موفقیت تغذیه شیرخوار با شیرمادر 

  • پایانی با شکوه برای مسابقه بزرگ «به توان دوستی فراز بانک»! 

  • شرکت ملی صنایع مس ایران، سومین شرکت معدنی کشور در صرفه‌جویی ارزی ناشی از بومی‌سازی

  • رئیس هیأت‌مدیره شرکت ملی صنایع مس ایران: ساخت داخل باید از نظر کیفیت و قیمت با نمونه‌های خارجی رقابت کند

  • قدردانی از همکاران حوزه فناوری اطلاعات بانک مسکن/تاکید بر نقش تاثیرگذار حوزه فناوری در پیشبرد اهداف

  •  نگاهی به خدمات و حمایت‌های بیمه ایران در روزهای پرالتهاب جنگ ۱۲ روزه؛ از پایداری در ارائه خدمات تا تلاش برای آرامش مردم ایران+اینفوگرافی

  • نقدکردن غیرحضوری چک دیجیتال شبکه بانکی با «سپینو» بانک صادرات ایران

واریته
صفحه اصلی›واریته›سرقت فایل‌های کاربران به علت خطای طراحی در پایگاه داده MySQL

سرقت فایل‌های کاربران به علت خطای طراحی در پایگاه داده MySQL

توسط اپراتور خبر
۱۳۹۷-۱۱-۲۳

نقص طراحی در انتقال متقابل فایل بین میزبان سرویس گیرنده و یک سرور با پایگاه داده MySQL به مهاجم این اجازه را می‌دهد توانایی دسترسی به هر داده‌ای از کاربر سرویس گیرنده را داشته باشد.

مشکلی امنیتی که بین میزبان سرویس گیرنده و یک سرور با پایگاه داده MySQL به مهاجم این اجازه را می‌دهد تا توسط آماده‌سازی یک سرور با پایگاه داده MySQL همراه‌با تنظیمات مخرب روی آن، توانایی دسترسی به هر داده‌ای از کاربر سرویس گیرنده که مجوز دسترسی به آن وجود دارد را داشته باشد. اینمشکل امنیتی با پیامدهای شناخته‌شده‌اش، از آنجا ناشی می‌شود که در پایگاه داده MySQL، دستور LOAD DATA با مشخصه‌ی LOCAL مورد استفاده قرار می‌گیرد که در اسناد منتشرشده‌ی توسعه‌دهندگان MySQL به‌عنوان یک خطر امنیتی معرفی شده است. توسعه‌دهندگان MySQL توضیح داده‌اند که کاربر Client درخواست انتقال فایل از سرور MySQL را براساس شیوه‌ی LOAD DATA ارائه‌شده دریافت می‌کند؛ اما سرور MySQL که به‌صورت مخرب برنامه‌ریزی شده، می‌تواند توسط استفاده از شیوه‌ی LOAD DATA LOCAL به هر داده‌ای از کاربر که مشخصه‌ی Local را از قبل به آن داده است، دسترسی داشته باشد. نکته‌ی اصلی اینجا است که کاربران نباید به سرورهای نامعلوم و غیرقابل اعتماد متصل شوند، چراکه با استفاده از این روش امکان دزدیدن اطلاعات و دسترسی به فایل‌های آن‌ها توسط نفوذگران وجود خواهد داشت.

خطر بالقوه این مشکل امنیتی اینجا است که سرورهای وب در اتصال خود به سرورهای پایگاه داده مخرب MySQL، این امکان را برای نفوذگران فراهم می‌کنند که مهاجم توانایی دسترسی و دریافت فایل etc/passwd/ را داشته باشند و به اطلاعات مهم حساب کاربری کاربران دسترسی پیدا کنند. البته دسترسی به فایل‌های قربانیان در صورتی ممکن خواهد بود که آدرس دقیق فایل در اختیار نفوذگر باشد؛ اگرچه امکان به‌دست آوردن این اطلاعات توسط درخواستی به فایل proc/self/environ/ که تغییرات محیطی فرآیندها را در خود دارد، مقدور خواهد بود و درنتیجه می‌توان به ساختار و جزییات مربوط‌به پوشه‌های داخلی سیستم قربانی دست پیدا کرد.

در توضیحاتی که توسط محقق امنیت سایبری ویلیام گروت در Reddit منتشر شده، سناریوهای احتمالی برای یک سرور MySQL مخرب بیان شده است. دزدیدن اطلاعات کلید SSH و همچنین دسترسی به کیف پول cryptocurrency کاربران در ابتدا به‌عنوان نمونه بیان شده است. به‌گفته‌ی او در اوکتبر ۲۰۱۸ حملات مخربی ازطریق این آسیب‌پذیری علیه فروشگاه‌های اینترنتی به جهت دزدیدن اطلاعات کارت‌های بانکی کاربران صورت گرفته است. کُد مخصوصی برای سوءاستفاده از این نوع آسیب‌پذیری حدود ۶ سال است که روی GitHub منتشر شده و این جای تعجب ندارد که نفوذگران و مجرمان سایبری از این کُد در حملات خود استفاده کنند. گروت در ادامه توضیح می‌دهد که در دسامبر گذشته چگونه کلاهبرداران از این آسیب‌پذیری برای استخراج اطلاعات پایگاه‌داده‌های MySQL و PostgreSQL توسط نرم‌افزار مدیریت پایگاه‎داده Adminer استفاده کرده‌اند.

adminer

در ادامه بیان شده که هدف بسیاری از حملات انجام‌شده توسط این آسیب‌پذیری، سرقت فایل local.xml است که در سیستم مدیریت محتوای Magento که یک پلتفرم تجارت الکترونیک برای ساخت سایت فروشگاه اینترنتی است، اطلاعات گذرواژه پایگاه‌داده را در خود ذخیره می‌کند. کاربرانی که از برنامه Adminer استفاده می‌کنند، توجه داشته باشند که نسخه‌های ۴.۳.۱ تا ۴.۶.۲ این برنامه آسیب‌پذیر هستند و باید برنامه Adminer خود را به نسخه ۴.۷.۰ به‌روزرسانی کنند.

لینک کوتاه مطلب: https://tritanews.ir/?p=74601

مطالب مرتبط درباره نویسنده

  • واریته

    “بچه مهندس” سریال رمضانی شبکه ۲ شد

    ۱۳۹۷-۰۲-۲۵
    توسط اپراتور خبر
  • واریته

    قدیمی ترین فرودگاه های دنیا کجا قرار دارند؟

    ۱۳۹۸-۰۴-۱۷
    توسط اپراتور خبر
  • واریته

    “مرثیه آیدا”به جشنواره دیاربکر ترکیه راه یافت

    ۱۴۰۱-۰۷-۲۰
    توسط مهناز خدادوست
  • واریته

    آرایش محبوب زنان کشور‌های مختلف جهان

    ۱۳۹۷-۰۴-۲۶
    توسط اپراتور خبر
  • واریته

    زمان اکران «انزوا»

    ۱۳۹۶-۰۸-۱۵
    توسط اپراتور خبر
  • واریته

    خبر جدید درباره سود سهام عدالت

    ۱۳۹۶-۰۳-۰۳
    توسط اپراتور خبر

پاسخ دادن لغو پاسخ

تبلیغات

  • آخرین

  • محبوب

  • دیدگاه ها

  • عملیات نصب تجهیزات پروژه اوره پتروشیمی هنگام تا پایان شهریورماه به اتمام می‌رسد

    توسط مهناز خدادوست
    ۱۴۰۴-۰۴-۲۲
  • جهش درآمدی ۶۶.۳ درصدی پتروشیمی بوعلی سینا در بهار ۱۴۰۴

    توسط مهناز خدادوست
    ۱۴۰۴-۰۴-۲۲
  • جهش درآمدی و سودآوری بانک سامان در سال ۱۴۰۳

    توسط مهناز خدادوست
    ۱۴۰۴-۰۴-۲۲
  • راه کارهای عملی در موفقیت تغذیه شیرخوار با شیرمادر 

    توسط مهناز خدادوست
    ۱۴۰۴-۰۴-۲۲
  • پایانی با شکوه برای مسابقه بزرگ «به توان دوستی فراز بانک»! 

    توسط مهناز خدادوست
    ۱۴۰۴-۰۴-۲۲
  • عفونت بند ناف نوزادان را جدی بگیرید

    توسط اپراتور خبر
    ۱۳۹۶-۰۳-۲۰
  • کوالکام می گوید در صورت پیوستن به برادکام، دو مشتری مهم خود را از دست ...

    توسط اپراتور خبر
    ۱۳۹۶-۱۱-۲۳
  • خون دماغ یعنی ….

    توسط اپراتور خبر
    ۱۳۹۶-۰۲-۲۳
  • تبلیغات محیطی جذاب و بی‌نقص با نمایشگرهای حرفه ای Outdoor سامسونگ

    توسط اپراتور خبر
    ۱۳۹۶-۰۷-۲۹
  • بهترین زمان برای خرید لپ‌تاپ چه زمانی است؟

    توسط اپراتور خبر
    ۱۳۹۶-۰۳-۱۶
  • مریم نجفی رحیمیان
    در
    ۱۴۰۱-۰۳-۱۸

    مهدی احمدی رییس اداره کل روابط عمومی خبرداد: اعلام اسامی برندگان جوایز قرعه کشی در ...

    سلام خسته نباشید سوال ...
  • قیمت آهن انبار مشهد
    در
    ۱۴۰۱-۰۲-۱۷

    بیماری‌هایی که کلیه را عفونی می‌کنند

    با سلام ممنون از ...
  • آهن مشهد
    در
    ۱۴۰۱-۰۲-۱۷

    با کفش Futurecraft 4D آدیداس آشنا شوید؛ کتانی ساخته شده با فناوری چاپ سه بعدی

    خیلی مقاله عالیی بود ...
  • مهناز خدادوست
    در
    ۱۴۰۱-۰۲-۰۶

    ۱۳۸۸ فقره وام ازدواج توسط بانک قرض‌الحسنه مهر ایران پرداخت شد

    با سلام و ارادت ...
  • مهناز خدادوست
    در
    ۱۴۰۱-۰۲-۰۶

    ۱۳۸۸ فقره وام ازدواج توسط بانک قرض‌الحسنه مهر ایران پرداخت شد

    با سلام و ارادت ...
  • خانه
  • واریته
  • سلامت
  • اقتصاد
  • درباره تریتا
  • تبلیغات در تریتا
  • درباره ما
تمامی حقوق این وبسایت برای تریتانیوز محفوظ است