کاربران در انتظار وصله اوراکل

سرورها هنوز در برابر آسیب‌پذیری روز صفر MySQL بی‌دفاع هستند

10/07/1395 - 03:04
امنیت
سرورها هنوز در برابر آسیب‌پذیری روز صفر MySQL بی‌دفاع هستند
یک پژوهشگر امنیتی، تصمیم گرفت جزییات مربوط به یک آسیب‌پذیری روز صفر بانک‌اطلاعاتی منبع باز MySQL را به صورت عمومی منتشر کند. او هدف از انجام اینکار را ناتوانی شرکت اوراکل در وصله کردن این آسیب‌پذیری‌ در مدت زمان 40 روز اعلام داشته است.

داوید گولنسکی، پژوهش‌گر امنیتی موفق شده است، چند آسیب‌پذیری جدی را در MySQL شناسایی کند. یکی از این آسیب‌پذیری‌ها به هکرهای راه دور اجازه می‌دهد، تنظیمات مخرب را درون فایل‌های پیکربندی my.cnf تزریق کرده و کدهای دلخواه خود را با مجوز ریشه اجرا کنند. به‌طوری که هکرها این توانایی را پیدا خواهند کرد تا MySQL در حال اجرا روی سرور را به‌طور کامل دستکاری  کنند. این آسیب‌پذیری که به شماره CVE-2016-6662 به ثبت رسیده است، به یک هکر اجازه می‌دهد از طریق یک اتصال شبکه‌ یا یک واسط وب همچون phpMyAdmin و از طریق حمله تزریق کد SQL بدون آنکه نیازی به ارتباط مستقیم با MySQL داشته باشد، از این آسیب‌پذیری بهره‌برداری کند.

مطلب پیشنهادی

داعش برای جمع‌آوری اطلاعات هکر استخدام می‌کند!
یک هکر به جرم همکاری با داعش دستگیر شد!

داعش برای جمع‌آوری اطلاعات هکر استخدام می‌کند!

آسیب‌پذیری دیگر MySQL که جزییات آن فاش نشده و به شماره CVE-2016-6663 به ثبت رسیده است، امکان پیاده‌سازی حمله روز صفر را حتا برای هکرهای تازه‌کار امکان‌پذیر می‌سازد. این حمله بر مبنای پیکربندی پیش‌فرض تمامی نسخه‌های MySQL نگارش‌های 5.5، 6.5 و 7.5 امکان‌پذیر است. بدتر آنکه حتا اگر ماژول‌های امنیتی لینوکس AppArmg و SE Linux هم نصب شده باشند، باز هم امکان بهره‌برداری از این آسیب‌پذیری‌ها وجود دارد. آسیب‌پذیری فوق همچنین روی بانک‌های اطلاعاتی MariaDB و PerconaDB نیز وجود دارد، اما توسعه‌دهندگان این بانک‌های اطلاعاتی موفق شدند، وصله لازم برای این آسیب‌پذیری‌ها را در اوایل ماه جاری ارائه کنند. اوراکل در 29 جولای از وجود این باگ مطلع شده بود، اما هنوز هم وصله لازم برای آن‌را ارائه نکرده است. بر همین اساس گولنسکی تصمیم گرفت جزییات مربوط به این آسیب‌پذیری را منتشر کند، به دلیل این‌که توسعه‌دهندگان MariaDB و PerconaDB در مدت زمان تعیین شده وصله‌های لازم را در مخازن عمومی در دسترس کاربران قرار داده‌اند. در نتیجه احتمال اینکه‌ هکرها بتوانند از این آسیب‌پذیری سوء استفاده کنند به حداقل می‌سد. در همین ارتباط گولنسکی یکسری کدهای مفهومی را برای اثبات دلایل خود منتشر کرده است. گولنسکی به کاربران پیشنهاد کرده است: «مادامی که وصله مربوطه از سوی اوراکل عرضه نشده است، از راه حل‌های موقت استفاده کنند. مدیران برای به حداقل رساندن آسیب‌ها، باید اطمینان حاصل کنند فایل‌های پیکربندی MySQL متعلق به کاربران متفرقه نباشد و همچنین فایل‌های My.cnf که مورد استفاده قرار نمی‌گیرند را با حساب کاربری ریشه ایجاد کنند. البته این راه‌حل‌ها جامع نیستند و کاربران تا انتشار وصله‌های رسمی باید صبور باشند.»

به‌روزرسانی‌های بعدی اوراکل موسوم به (CPU) سرنام Critical Patch Update در تاریخ 18 اکتبر عرضه خواهند شد.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

مطالب مرتبط

برچسب: 
MySQL - آسیب پذیری - امنیت - بانک اطلاعاتی - روز صفر - هک - هکرها
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟