写点什么

MySQL 曝设计缺陷,多家公司被窃取文件

  • 2019-01-22
  • 本文字数:720 字

    阅读完需:约 2 分钟

MySQL曝设计缺陷,多家公司被窃取文件

近日,MySQL 被曝出存在设计缺陷,该缺陷允许恶意 MySQL 服务器攻击访问连接的客户端,并从中获取读取权限窃取文件。


据相关报道称,该设计缺陷可用于从配置不当的 Web 服务器(允许连接到不受信任的服务器)或数据库管理应用程序中检索敏感信息,而导致这一风险的原因在于 LOCAL 修饰符使用的 LOAD DATA 语句,在 MySQL 文档中被引用为安全风险。


正常情况下,客户端可以通过 LOADDATA 语句向 MySQL 服务器发送接收文件传输的请求,但是恶意服务器会响应 LOADDATA 语句,并获取客户端具有读取权限的文件。同样,该攻击也适用于 Web 服务器,它可以充当客户端连接到 MySQL 服务器,攻击者可以利用该漏洞窃取/etc/passwd 文件,该文件保存用户帐户记录。虽然只有在服务器知道文件完整路径的情况下,攻击者才能获得文件,但是还可以通过“/proc/self/environ”来获取正在运行进程的环境变量,并从中得到主目录和有关内部文件夹架构的详细信息。


如何解决这个问题呢?MySQL 文档中是这样写道的:“补丁服务器实际上可以用文件传输请求来回复任何语句,不仅仅是加载本地数据,所以想要真正解决问题,办法只有一个,客户端不要连接到不受信任的服务器上。”


Reddit 中出现了一篇关于 MySQL 恶意服务器的讨论内容,有用户称,攻击者仔细研究了利用此缺陷可攻击的场景,其中窃取 SSH 密钥和加密货币排在其中。据悉,Magecart 攻击已经利用该缺陷拦截了多个站点的支付交易,已知被攻击的公司包括 Newegg Inc., the Infowars Store, Cathay Pacific Airways Ltd., British Airways, Ticketmaster Entertainment Inc.和 Oxo International Ltd。


参考链接:https://siliconangle.com/2019/01/21/mysql-database-management-vulnerability-opens-door-data-theft/


2019-01-22 18:458040
用户头像

发布了 34 篇内容, 共 28.3 次阅读, 收获喜欢 58 次。

关注

评论

发布
暂无评论
发现更多内容

AI日报|国内大模型迅速崛起!赶超美国第一!阿里云发布全球性能最强的开源模型!

可信AI进展

#人工智能

文献解读-农业系列-第七期|《高粱驯化的基因组足迹和多种最终用途的育种选择》

INSVAST

基因数据分析 生信服务

OpenHarmony专属的智能问答助手“小瓦AI答”上线了

Geek_2d6073

数据安全,让“藏粮于技”水到渠成

从云科技

物联网 数据安全 统一身份认证 零信任 数据流通

软件测试学习笔记丨Vue路由-Router

测试人

软件测试

从云科技入选《API安全市场指南报告》

从云科技

API 数据安全 从云科技

拯救学弟学妹计划之【论文帮手】是如何实现的?

AppBuilder

Ruby和Rails开发工具 JetBrains RubyMine 2024 for Mac

Mac相关知识分享

ruby Mac 开发工具 RubyMine2024

快准稳的文档解析工具,帮助构建性能优越的金融领域知识库问答产品

合合技术团队

金融 合合信息 智能问答 文档解析

2024年区块链技术开发全面解析:代币、DApp、NFT、链游与交易所的最新动态

区块链软件开发推广运营

交易所开发 dapp开发 区块链开发 链游开发 代币开发

从云科技 “六边形战士” 数据基建“搬砖人”

从云科技

数据安全 数据基建 数据流通安

理解 Bearer Token 及其功能性

Apifox

后端 身份认证 Token API API 安全

全国AI产品榜发布:百度文库蝉联第一

科技热闻

人工智能ChatGPT的多种应用:提示词工程

测试人

人工智能 软件测试 测试开发 ChatGPT

深度剖析集团型企业在新质生产力和数字化转型过程中面临的身份管理问题(三)

芯盾时代

iam 身份和访问管理 统一身份管理平台

星火闪耀,与AI同行丨华为开发者大会2024社区活动重磅上线!

华为云开发者联盟

华为云 华为云开发者联盟 华为开发者大会2024 企业号2024年6月PK榜

数据资产化浪潮来临,从云构筑数据资产安全基座

从云科技

数据安全 数字中国建设峰会 数据资产运营 数据安全一体机

“新E代弯道王”MAZDA EZ-6亮相2024重庆国际车展

Geek_2d6073

【天池科普】1. 为啥人人都要学AI

阿里云天池

阿里云 AI Agent

原腾讯云副总裁张纾翔加入矩阵起源,共筑人工智能新篇章

MatrixOrigin

数据库 腾讯云 AI

如何判断LED显示屏的质量优劣

Dylan

技术 质量 LED显示屏 led显示屏厂家 市场

宽睿数字平台兼容TDengine 等多种数据库,提供行情解决方案

TDengine

数据库 时序数据库

强大C++集成开发环境(IDE)JetBrains CLion 2024 for Mac

Mac相关知识分享

Mac 开发工具 Mac软件

Python集成开发环境(IDE)JetBrains pycharm pro 2024 for mac

Mac相关知识分享

集成开发环境 Mac软件 开发工具下载

从学术到开源:探索北京邮电大学电子工程学院研究生的开源之旅

TDengine

数据库 时序数据库

如何更好的回答面试问题

老张

面试 面试经验

高效处理风电时序数据,明阳集团的 TDengine 3.0 应用实录

TDengine

MySQL曝设计缺陷,多家公司被窃取文件_开源_甜梨_InfoQ精选文章