تریتا نیوز

منو اصلی

  • صفحه اصلی
  • اقتصاد
  • واریته
  • سلامت
  • درباره ما

logo

  • صفحه اصلی
  • اقتصاد
  • واریته
  • سلامت
  • درباره ما
  • بانک صادرات ایران با روش‌های نوین تأمین مالی، گره تولید را باز می‌کند

  • آغاز فصلی تازه در بانکداری ایران با الحاق بانک آینده به بانک ملی ایران

  • بانک آینده با عاملیت بانک ملی ایران تعیین تکلیف شد

  • پیام مدیرعامل گروه مپنا به مناسبت سالروز حادثه تلخ واحد ۲۵مگاواتی نیروگاه پرند

  • اعتماد عمومی به قرض‌الحسنه، سرمایه‌ای ارزشمند برای کشور است

  • سلامت خود را در دهه چهل زندگی مدیریت کنید!

  • چرا سهام نفت سپاهان ظرف یک ماه بیش از ۲۷ درصد سود داد؟

  • تندیس صادرکننده نمونه کشوری به پتروشیمی پارس اعطا شد

  • بازدید مدیران هلدینگ خلیج فارس از منطقه ویژه اقتصادی لامرد/ برهانی: هیچ محدودیتی برای ایجاد زیرساخت‌های سرمایه‌گذاران نداریم

  • رشد پایدار بانک سینا با تکیه بر فناوری و استفاده بهینه از ظرفیت سهامداران

واریته
صفحه اصلی›واریته›سرقت فایل‌های کاربران به علت خطای طراحی در پایگاه داده MySQL

سرقت فایل‌های کاربران به علت خطای طراحی در پایگاه داده MySQL

توسط اپراتور خبر
۱۳۹۷-۱۱-۲۳

نقص طراحی در انتقال متقابل فایل بین میزبان سرویس گیرنده و یک سرور با پایگاه داده MySQL به مهاجم این اجازه را می‌دهد توانایی دسترسی به هر داده‌ای از کاربر سرویس گیرنده را داشته باشد.

مشکلی امنیتی که بین میزبان سرویس گیرنده و یک سرور با پایگاه داده MySQL به مهاجم این اجازه را می‌دهد تا توسط آماده‌سازی یک سرور با پایگاه داده MySQL همراه‌با تنظیمات مخرب روی آن، توانایی دسترسی به هر داده‌ای از کاربر سرویس گیرنده که مجوز دسترسی به آن وجود دارد را داشته باشد. اینمشکل امنیتی با پیامدهای شناخته‌شده‌اش، از آنجا ناشی می‌شود که در پایگاه داده MySQL، دستور LOAD DATA با مشخصه‌ی LOCAL مورد استفاده قرار می‌گیرد که در اسناد منتشرشده‌ی توسعه‌دهندگان MySQL به‌عنوان یک خطر امنیتی معرفی شده است. توسعه‌دهندگان MySQL توضیح داده‌اند که کاربر Client درخواست انتقال فایل از سرور MySQL را براساس شیوه‌ی LOAD DATA ارائه‌شده دریافت می‌کند؛ اما سرور MySQL که به‌صورت مخرب برنامه‌ریزی شده، می‌تواند توسط استفاده از شیوه‌ی LOAD DATA LOCAL به هر داده‌ای از کاربر که مشخصه‌ی Local را از قبل به آن داده است، دسترسی داشته باشد. نکته‌ی اصلی اینجا است که کاربران نباید به سرورهای نامعلوم و غیرقابل اعتماد متصل شوند، چراکه با استفاده از این روش امکان دزدیدن اطلاعات و دسترسی به فایل‌های آن‌ها توسط نفوذگران وجود خواهد داشت.

خطر بالقوه این مشکل امنیتی اینجا است که سرورهای وب در اتصال خود به سرورهای پایگاه داده مخرب MySQL، این امکان را برای نفوذگران فراهم می‌کنند که مهاجم توانایی دسترسی و دریافت فایل etc/passwd/ را داشته باشند و به اطلاعات مهم حساب کاربری کاربران دسترسی پیدا کنند. البته دسترسی به فایل‌های قربانیان در صورتی ممکن خواهد بود که آدرس دقیق فایل در اختیار نفوذگر باشد؛ اگرچه امکان به‌دست آوردن این اطلاعات توسط درخواستی به فایل proc/self/environ/ که تغییرات محیطی فرآیندها را در خود دارد، مقدور خواهد بود و درنتیجه می‌توان به ساختار و جزییات مربوط‌به پوشه‌های داخلی سیستم قربانی دست پیدا کرد.

در توضیحاتی که توسط محقق امنیت سایبری ویلیام گروت در Reddit منتشر شده، سناریوهای احتمالی برای یک سرور MySQL مخرب بیان شده است. دزدیدن اطلاعات کلید SSH و همچنین دسترسی به کیف پول cryptocurrency کاربران در ابتدا به‌عنوان نمونه بیان شده است. به‌گفته‌ی او در اوکتبر ۲۰۱۸ حملات مخربی ازطریق این آسیب‌پذیری علیه فروشگاه‌های اینترنتی به جهت دزدیدن اطلاعات کارت‌های بانکی کاربران صورت گرفته است. کُد مخصوصی برای سوءاستفاده از این نوع آسیب‌پذیری حدود ۶ سال است که روی GitHub منتشر شده و این جای تعجب ندارد که نفوذگران و مجرمان سایبری از این کُد در حملات خود استفاده کنند. گروت در ادامه توضیح می‌دهد که در دسامبر گذشته چگونه کلاهبرداران از این آسیب‌پذیری برای استخراج اطلاعات پایگاه‌داده‌های MySQL و PostgreSQL توسط نرم‌افزار مدیریت پایگاه‎داده Adminer استفاده کرده‌اند.

adminer

در ادامه بیان شده که هدف بسیاری از حملات انجام‌شده توسط این آسیب‌پذیری، سرقت فایل local.xml است که در سیستم مدیریت محتوای Magento که یک پلتفرم تجارت الکترونیک برای ساخت سایت فروشگاه اینترنتی است، اطلاعات گذرواژه پایگاه‌داده را در خود ذخیره می‌کند. کاربرانی که از برنامه Adminer استفاده می‌کنند، توجه داشته باشند که نسخه‌های ۴.۳.۱ تا ۴.۶.۲ این برنامه آسیب‌پذیر هستند و باید برنامه Adminer خود را به نسخه ۴.۷.۰ به‌روزرسانی کنند.

لینک کوتاه مطلب: https://tritanews.ir/?p=74601

مطالب مرتبط درباره نویسنده

  • واریته

    همه الزام های گریز ناپذیر مرد خفاشی

    ۱۳۹۶-۰۲-۲۶
    توسط اپراتور خبر
  • واریته

    انیمیشن «اسکوبی دو» به صحنه تئاتر می‌آید

    ۱۳۹۸-۰۱-۲۲
    توسط اپراتور خبر
  • واریته

    برندگان واقعی «بازی تاج و تخت»؛ هر یک از بازیگران اصلی سریال چقدر ثروت اندوخته‌اند؟

    ۱۳۹۸-۰۲-۳۰
    توسط اپراتور خبر
  • واریته

    نگاهی به میز کار هفت مدیر موفق در مشاغل مختلف جهان

    ۱۳۹۷-۰۲-۰۹
    توسط اپراتور خبر
  • واریته

    برخی اتفاق‌های تئاتری در شهرستان‌ها دفن می‌شوند/ معضل لابی گری

    ۱۳۹۶-۱۱-۰۸
    توسط اپراتور خبر
  • واریته

    راهنمای انتخاب رشته و ظرفیت پذیرش و سهمیه ها در کنکور ۱۳۹۸

    ۱۳۹۸-۰۵-۱۶
    توسط اپراتور خبر

پاسخ دادن لغو پاسخ

تبلیغات

  • آخرین

  • محبوب

  • دیدگاه ها

  • بانک صادرات ایران با روش‌های نوین تأمین مالی، گره تولید را باز می‌کند

    توسط مهناز خدادوست
    ۱۴۰۴-۰۸-۰۱
  • آغاز فصلی تازه در بانکداری ایران با الحاق بانک آینده به بانک ملی ایران

    توسط مهناز خدادوست
    ۱۴۰۴-۰۸-۰۱
  • بانک آینده با عاملیت بانک ملی ایران تعیین تکلیف شد

    توسط مهناز خدادوست
    ۱۴۰۴-۰۸-۰۱
  • پیام مدیرعامل گروه مپنا به مناسبت سالروز حادثه تلخ واحد ۲۵مگاواتی نیروگاه پرند

    توسط مهناز خدادوست
    ۱۴۰۴-۰۸-۰۱
  • اعتماد عمومی به قرض‌الحسنه، سرمایه‌ای ارزشمند برای کشور است

    توسط مهناز خدادوست
    ۱۴۰۴-۰۸-۰۱
  • عفونت بند ناف نوزادان را جدی بگیرید

    توسط اپراتور خبر
    ۱۳۹۶-۰۳-۲۰
  • کوالکام می گوید در صورت پیوستن به برادکام، دو مشتری مهم خود را از دست ...

    توسط اپراتور خبر
    ۱۳۹۶-۱۱-۲۳
  • خون دماغ یعنی ….

    توسط اپراتور خبر
    ۱۳۹۶-۰۲-۲۳
  • تبلیغات محیطی جذاب و بی‌نقص با نمایشگرهای حرفه ای Outdoor سامسونگ

    توسط اپراتور خبر
    ۱۳۹۶-۰۷-۲۹
  • بهترین زمان برای خرید لپ‌تاپ چه زمانی است؟

    توسط اپراتور خبر
    ۱۳۹۶-۰۳-۱۶
  • مریم نجفی رحیمیان
    در
    ۱۴۰۱-۰۳-۱۸

    مهدی احمدی رییس اداره کل روابط عمومی خبرداد: اعلام اسامی برندگان جوایز قرعه کشی در ...

    سلام خسته نباشید سوال ...
  • قیمت آهن انبار مشهد
    در
    ۱۴۰۱-۰۲-۱۷

    بیماری‌هایی که کلیه را عفونی می‌کنند

    با سلام ممنون از ...
  • آهن مشهد
    در
    ۱۴۰۱-۰۲-۱۷

    با کفش Futurecraft 4D آدیداس آشنا شوید؛ کتانی ساخته شده با فناوری چاپ سه بعدی

    خیلی مقاله عالیی بود ...
  • مهناز خدادوست
    در
    ۱۴۰۱-۰۲-۰۶

    ۱۳۸۸ فقره وام ازدواج توسط بانک قرض‌الحسنه مهر ایران پرداخت شد

    با سلام و ارادت ...
  • مهناز خدادوست
    در
    ۱۴۰۱-۰۲-۰۶

    ۱۳۸۸ فقره وام ازدواج توسط بانک قرض‌الحسنه مهر ایران پرداخت شد

    با سلام و ارادت ...
  • خانه
  • واریته
  • سلامت
  • اقتصاد
  • درباره تریتا
  • تبلیغات در تریتا
  • درباره ما
تمامی حقوق این وبسایت برای تریتانیوز محفوظ است