写点什么

MySQL 曝设计缺陷,多家公司被窃取文件

  • 2019-01-22
  • 本文字数:720 字

    阅读完需:约 2 分钟

MySQL曝设计缺陷,多家公司被窃取文件

近日,MySQL 被曝出存在设计缺陷,该缺陷允许恶意 MySQL 服务器攻击访问连接的客户端,并从中获取读取权限窃取文件。


据相关报道称,该设计缺陷可用于从配置不当的 Web 服务器(允许连接到不受信任的服务器)或数据库管理应用程序中检索敏感信息,而导致这一风险的原因在于 LOCAL 修饰符使用的 LOAD DATA 语句,在 MySQL 文档中被引用为安全风险。


正常情况下,客户端可以通过 LOADDATA 语句向 MySQL 服务器发送接收文件传输的请求,但是恶意服务器会响应 LOADDATA 语句,并获取客户端具有读取权限的文件。同样,该攻击也适用于 Web 服务器,它可以充当客户端连接到 MySQL 服务器,攻击者可以利用该漏洞窃取/etc/passwd 文件,该文件保存用户帐户记录。虽然只有在服务器知道文件完整路径的情况下,攻击者才能获得文件,但是还可以通过“/proc/self/environ”来获取正在运行进程的环境变量,并从中得到主目录和有关内部文件夹架构的详细信息。


如何解决这个问题呢?MySQL 文档中是这样写道的:“补丁服务器实际上可以用文件传输请求来回复任何语句,不仅仅是加载本地数据,所以想要真正解决问题,办法只有一个,客户端不要连接到不受信任的服务器上。”


Reddit 中出现了一篇关于 MySQL 恶意服务器的讨论内容,有用户称,攻击者仔细研究了利用此缺陷可攻击的场景,其中窃取 SSH 密钥和加密货币排在其中。据悉,Magecart 攻击已经利用该缺陷拦截了多个站点的支付交易,已知被攻击的公司包括 Newegg Inc., the Infowars Store, Cathay Pacific Airways Ltd., British Airways, Ticketmaster Entertainment Inc.和 Oxo International Ltd。


参考链接:https://siliconangle.com/2019/01/21/mysql-database-management-vulnerability-opens-door-data-theft/


2019-01-22 18:458116
用户头像

发布了 34 篇内容, 共 28.7 次阅读, 收获喜欢 58 次。

关注

评论

发布
暂无评论
发现更多内容

珠宝行业电子秤串口程序开发

108518

珠宝行业erp 珠宝天平 电子秤

TASKCTL 用户权限操作设置

敏捷调度TASKCTL

DevOps 分布式 敏捷开发 ETL系统 自动化运维

深挖房地产行业数智化转型升级价值,推动地产管理革新

数商云

产业互联网 数字化转型 企业数字化

活动报名 | 如何基于开源项目 Tapdata PDK,快速完成数据源和目标的开发?

tapdata

数据库

Java程序员福音!蚂蚁+字节

爱好编程进阶

Java 面试 后端开发

Java面试必备:阿里首发面试通关宝典震撼开源,文档

爱好编程进阶

Java 面试 后端开发

应对“反洗钱”,银丰新融反洗钱自主监测系统为机构保驾护航

华为云开发者联盟

数据库 分布式架构 GaussDB 反洗钱 鲲鹏云

6. 堪比JMeter的.Net压测工具 - Crank 实战篇 - 收集诊断跟踪信息与如何分析瓶颈

MASA技术团队

C# .net 测试 压测 测试工具

哪家堡垒机好用?过来人指点一下!

行云管家

数据库 数据安全 堡垒机

基于Feature Flag的下一代开发模式

字节跳动数据平台

字节跳动 AB testing实战 ab测试

重磅!业界首个云原生批量计算项目Volcano正式晋级为CNCF孵化项目

华为云开发者联盟

云原生 Volcano 批量计算 cncf

2022中国“SaaS”领域十大趋势

小炮

SaaS SaaS应用 SaaS平台

自助洗车加盟!自助洗车品牌大全

共享电单车厂家

自助洗车加盟 自助洗车品牌

限时好礼 | MongoDB又有新书籍出炉啦!

MongoDB中文社区

mongodb

Java面试-volatile的内存语义

爱好编程进阶

Java 面试 后端开发

TiDB 6.0 的「元功能」:Placement Rules in SQL 是什么?

极客天地

使用APICloud & 科大讯飞SDK快速实现语音识别功能

YonBuilder低代码开发平台

前端开发 语音识别 APP开发 APICloud 科大讯飞

Leetcode 14天算法挑战 D1-1 #704 二分搜索

米菲爸爸

面试 LeetCode

百万奖金,首届船海数据智能应用创新大赛正式开赛

科技热闻

浅析mysql性能优化

乌龟哥哥

4月月更

Java岗开发3年,公司临时抽查算法,离职后这几题我记一辈子

爱好编程进阶

Java 面试 后端开发

天翼云发布基于欧拉双版本的自研操作系统——CTyunOS

天翼云开发者社区

java进阶篇02、注解、反射与动态代理

爱好编程进阶

Java 面试 后端开发

学习管理管理系统解决方案

低代码小观

学习方法 企业管理 企业管理系统 教育管理 CRM系统

java高级用法之:绑定CPU的线程Thread-Affinity

程序那些事

Java Netty 程序那些事 4月月更

行业分析| 互联网医疗的发展

anyRTC开发者

音视频 实时通讯 在线医疗 远程问诊 互联网医疗

无聊科技正经事周刊(第3期):美团的推荐算法,是在玩火吗?

潘大壮

程序员 周刊 行业趋势 科技周刊

深入浅出聊Taier—大数据分布式可视化DAG任务调度系统

袋鼠云数栈

大数据 开源 分布式 前端

将node项目部署到云服务器详细教程

CRMEB

SFTP是什么协议?优势有哪些?与FTP有什么不同?

行云管家

运维 ftp sftp

无聊科技正经事周刊(第2期):线上马拉松你会参加吗?

潘大壮

程序员 周刊 科技周刊

MySQL曝设计缺陷,多家公司被窃取文件_开源_甜梨_InfoQ精选文章