En design fejl er blevet opdaget i filoverførslen interaktion mellem en klient vært og en MySQL-server. Fejlen gør det muligt for trusler aktører en ondsindet MySQL-server til at skaffe data den tilsluttede klient har læst adgang til. Kort, på grund af denne design fejl, en ondsindet MySQL-server kan implementeres til at stjæle filer fra kunder.
MySQL design fejl, forklaret
Mere specifikt, problemet ligger hos LOAD DATA erklæring, som bruges med den lokale modifier. Ifølge MySQL dokumentationen, dette betragtes som en fare for sikkerheden. Det skal bemærkes, at belastningen DATA redegørelse kan indlæse en fil placeret på serveren, og i tilfælde af LOKAL søgeord bruges i anmodningen, dette gøres på klienten vært.
Endvidere, overførslen af filen fra klienten vært til MySQL-serveren vært er initieret af serveren. En klient modtager anmodninger fil-overførsel fra MySQL-serveren baseret på oplysningerne i LOAD DATA erklæring. En ondsindet server kan være i stand til at sende et LOAD DATA LOCAL erklæring til kunden for at få adgang til enhver fil med læse- tilladelse.
Ifølge den officielle dokumentation af MySQL, "en lappet server kunne bygges der ville fortælle klienten program til at overføre en fil af serverens vælger i stedet for filen der hedder klienten i LOAD DATA erklæring."
Dokumentationen siger også, at ”at undgå indlæse data spørgsmål, klienter bør undgå at bruge LOKALE. For at undgå at forbinde til untrusted servere, kunder kan oprette en sikker forbindelse og verificere serverens identitet ved at forbinde ved hjælp af –ssl-mode = VERIFY_IDENTITY mulighed, og det passende CA-certifikat."
Det skal også bemærkes, at design fejl påvirker også webservere, der forbinder til en MySQL-server virker samtidig som kunder. I dette tilfælde, en trussel skuespiller kan udløse fejlen til at stjæle information såsom /etc / passwd fil.
Sikkerhed forsker Willem de Groot mener, at [wplinkpreview url =”https://sensorstechforum.com/sites-magecart-malware-reinfected/”]Magecart hackere udnyttes sårbarheden til at injicere skimming kode i sårbare online shopping hjemmesider.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: