写点什么

MySQL 曝设计缺陷,多家公司被窃取文件

  • 2019-01-22
  • 本文字数:720 字

    阅读完需:约 2 分钟

MySQL曝设计缺陷,多家公司被窃取文件

近日,MySQL 被曝出存在设计缺陷,该缺陷允许恶意 MySQL 服务器攻击访问连接的客户端,并从中获取读取权限窃取文件。


据相关报道称,该设计缺陷可用于从配置不当的 Web 服务器(允许连接到不受信任的服务器)或数据库管理应用程序中检索敏感信息,而导致这一风险的原因在于 LOCAL 修饰符使用的 LOAD DATA 语句,在 MySQL 文档中被引用为安全风险。


正常情况下,客户端可以通过 LOADDATA 语句向 MySQL 服务器发送接收文件传输的请求,但是恶意服务器会响应 LOADDATA 语句,并获取客户端具有读取权限的文件。同样,该攻击也适用于 Web 服务器,它可以充当客户端连接到 MySQL 服务器,攻击者可以利用该漏洞窃取/etc/passwd 文件,该文件保存用户帐户记录。虽然只有在服务器知道文件完整路径的情况下,攻击者才能获得文件,但是还可以通过“/proc/self/environ”来获取正在运行进程的环境变量,并从中得到主目录和有关内部文件夹架构的详细信息。


如何解决这个问题呢?MySQL 文档中是这样写道的:“补丁服务器实际上可以用文件传输请求来回复任何语句,不仅仅是加载本地数据,所以想要真正解决问题,办法只有一个,客户端不要连接到不受信任的服务器上。”


Reddit 中出现了一篇关于 MySQL 恶意服务器的讨论内容,有用户称,攻击者仔细研究了利用此缺陷可攻击的场景,其中窃取 SSH 密钥和加密货币排在其中。据悉,Magecart 攻击已经利用该缺陷拦截了多个站点的支付交易,已知被攻击的公司包括 Newegg Inc., the Infowars Store, Cathay Pacific Airways Ltd., British Airways, Ticketmaster Entertainment Inc.和 Oxo International Ltd。


参考链接:https://siliconangle.com/2019/01/21/mysql-database-management-vulnerability-opens-door-data-theft/


2019-01-22 18:458103
用户头像

发布了 34 篇内容, 共 28.6 次阅读, 收获喜欢 58 次。

关注

评论

发布
暂无评论
发现更多内容

Linux下文件目录权限操作

DS小龙哥

10月月更

有人想用开源工具DBT取代 SQL,你同意吗?

雨果

sql

5分钟,带你创建一个智能电梯检测器模型

华为云开发者联盟

物联网 华为云 iotda 智慧电梯 企业号十月 PK 榜

阿里p8免费公开五份Java架构师学习手册,助力金九银十

小二,上酒上酒

Java 架构 阿里

从无到有,一步一步教你搭建微服务电商项目,包含笔记+视频+源码

小二,上酒上酒

微服务

Linux下Shell脚本基础语法

DS小龙哥

10月月更

别按部就班的背面试题了!吃透这份Java面试核心知识手册,大环境不好Offer也能拿到手软!

Java全栈架构师

程序员 面试 程序人生 架构师 Java后端

阿里内部JVM G1GC纯手写学习笔记,你确定看得完?

小二,上酒上酒

编程 JVM 马士兵

Bug改不完,迭代总延期,咋办?

华为云开发者联盟

开发流程 bug 迭代 瀑布开发 企业号十月 PK 榜

5年大厂开发经验,加上这份Java高性能架构笔记,终于拿到了架构师薪资

小二,上酒上酒

Java 大厂 大厂面试 Java面试题

Github三天点击破亿,四天助力金九银十,精通SpringCloud微服务架构,成就大厂梦

小二,上酒上酒

Java spring 编程 Spring Cloud

数据库故障处理优质文章汇总(含Oracle、MySQL、MogDB等)

墨天轮

MySQL 数据库 oracle 故障定位 国产数据库

十大 CI/CD 安全风险(二)

SEAL安全

DevOps CI/CD DevSecOps CI/CD管道 软件供应链安全

阿里内部独家Java架构面试题,面试再不过来找我

小二,上酒上酒

MySQL spring JVM 多线程 MQ

Linux系统下基础命令介绍

DS小龙哥

10月月更

Linux下automake工具使用(自动构建Makefile文件)

DS小龙哥

10月月更

Python进阶(十二)浅谈python中的方法

No Silver Bullet

Python 方法 10月月更

挑战海量数据:基于Apache DolphinScheduler对千亿级数据应用实践

白鲸开源

大数据任务调度 任务调度 dophinscheduler 大数据调度

MatrixOne混沌测试之道

MatrixOrigin

数据库 分布式 混沌测试

Linux下基础命令(二)

DS小龙哥

10月月更

如何使用华为云IoT平台实现远程控制无人机,资深物联网从业者手把书一步一步教你!

wljslmz

物联网 IoT 无人机 华为云 10月月更

数字化转型案例解读:德意志银行数字化转型背后的故事

雨果

数字化转型

Gartner:被CIO们忽略的7个颠覆性趋势

雨果

CIO

再不看就来不及了,腾讯Spring Boot高阶笔记,限时开源48小时

小二,上酒上酒

Java 面试 大厂

八月裸辞,九月疫情在家闭关狂刷面试题,十月成功上岸京东物流

小二,上酒上酒

Java 阿里

你从未见过如此详细的 TCP 八股文!

C++后台开发

TCP 网络编程 网络协议 八股文 C++开发

阿里内部手写的Spring Security,真的香啊

小二,上酒上酒

spring spring security

融云实践:主流叙事之外,科技如何助力民生改善

融云 RongCloud

数据 服务 科技

专利解析|混合缓存技术在元年多维库中的应用

元年技术洞察

数据分析 多维数据库

阿里高工携18位架构师耗时两个月整合1000页的Java岗面试八股文

程序知音

Java 架构 java面试 后端技术 Java面试八股文

IT人士必须警惕这9个信号:说明你的IT架构很糟糕

雨果

数据管理工具 数据服务平台

MySQL曝设计缺陷,多家公司被窃取文件_开源_甜梨_InfoQ精选文章