Зафиксирован взлом сайта MySQL.com через подстановку SQL-кода

28.03.2011 09:43

Поступило сообщение об успешном взломе сайтов MySQL.com и Sun.com, а также некоторых связанных с ними субпроектов. Примечательно, что проникновение было совершено через простейшую уязвимость в используемом на сайте web-приложении, позволившую осуществить подстановку SQL-кода из-за некорректной проверки одного из параметров, задействованного в формировании обращения к службе клиентских сервисов. По доступным в настоящий момент данным, взлом ограничился только доступом к СУБД. Пока нет никаких сведений, указывающих на то, что атакующим удалось получить доступ к серверу или web-движку.

Атакующие уже опубликовали в открытом доступе список всех обслуживаемых на взломанном сервере баз данных и перечень некоторых таблиц. В одной из таблиц содержался список пользователей и администраторов СУБД. Большинство паролей для пользователей в данном списке было представлено в виде DES-хэшей, что позволило атакующим достаточно оперативно подобрать значение некоторых простейших паролей. Кроме того, по словам совершивших атаку, удалось получить доступ к содержимому архива приватной переписки по электронной почте, таблицам с данными по сотрудникам и клиентам (с email и реквизитами), таблицам с результатами работы систем мониторинга, позволяющих определить подробности построения сети и т.п.

Совершившие взлом подчеркнули, что сайт MySQL.com работает под управлением Fedora Linux, Apache 2.2.15 и PHP 5.2.13 (устаревшая и не поддерживаемая ветка PHP) и поддерживает работу нескольких ключевых сервисов: загрузка общедоступных и промышленных сборок MySQL (MySQL Community и Enterprise), организация работы поддержки клиентов, обеспечение доставки обновлений, ресурсы по сертификации, консалтингу и обучению. Более того, некоторые из баз данных, к которым атакующим удалось получить доступ, используются для обеспечения другого крупного ресурса - сайта Sun.com.

Кроме того, в начале января в скрипте gpg.php на сайте mysql.com была найдена XSS-уязвимость, позволяющая осуществить атаку с использованием межсайтового скриптинга. Данная уязвимость до сих пор остается неисправленной.

исправить +14 +/–

Главная ссылка к новости (http://techie-buzz.com/tech-ne...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/30043-mysql

Ключевые слова: mysql, hack, security, sql

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (58)

1.1, ананим (?), 10:49, 28/03/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
не, народ, вы конечно комменты режете, но реально из-за некорректной проверки какого именно скрипта - пыхпых, jsp, что? а то такое чувство складывается из названия, что взломали сам мускуль, а там - скрипты и быдлокодинг.

2.2, uZver (??), 10:53, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
JSP не является скриптом. Плюс обычно (если прочитали как програть на java) JSP ходят в БД через prepareStatement или JPA. и то и другое работают без конкатенации запроса, а значит SQL-inject им не светит. PS только архитектор мешает бывшим PHP-кодерам писать так же на JSP.

3.3, ананим (?), 11:20, 28/03/2011 [^] [^^] [^^^] [ответить]

+5 +/–

бросьте, писать быдло-код не может помешать любой язык, будь то php или java.
и не нужно такого снобизма. ибо ынтырпрайзный код я тоже насмотрелся.
хотите скажу какой пароль у ключа, подписывающего jar от oebs? :D
зыж
>JSP (JavaServer Pages) — технология, позволяющая веб-разработчикам легко создавать содержимое, которое имеет как статические, так и динамические компоненты. По сути, страница JSP является текстовым документом, который содержит текст двух типов

можете НЕ называть это скриптом, ради бога, я не возражаю. но если чё, то пыхпых-скрипты тоже можно скомпилить.
хотя для простоты общения я всё равно назову их скриптами.
ззыж
>Плюс обычно (если прочитали как програть на java) JSP ходят в БД через prepareStatement

что не мешает генерить строку запроса динамически, не так ли? :D

4.4, Аноним (-), 13:28, 28/03/2011 [^] [^^] [^^^] [ответить]	+1 +/–
> бросьте, писать быдло-код не может помешать любой язык, будь то php или java. Если задаться целью, то да, отвратительный код достижим на любом языке. Вот только быдлокодеры не специально пишут код с инъекциями - у них это получается без всякого труда, и, соответственно, иногда их достаточно пересадить на более вменяемый язык или платформу. В пых-пыхе до сих пор некоторые используют mysql_query (), поскольку иной удобной искоробочно-доступной альтернативы просто нет

5.5, ананим (?), 13:33, 28/03/2011 [^] [^^] [^^^] [ответить]	+2 +/–
>Вот только быдлокодеры не специально пишут код с инъекциями - у них это получается без всякого труда, и, соответственно, иногда их достаточно пересадить на более вменяемый язык или платформу. одним словом - бред.

5.7, Dmitry (??), 13:40, 28/03/2011 [^] [^^] [^^^] [ответить]	+4 +/–
Изкаробочная альтернатива в PHP - PDO. В Java кроме PreparedStatement есть еще и Statement, который при неумелом использовании может приводить к SQL Injection.

6.21, uZver (??), 17:59, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
> Изкаробочная альтернатива в PHP - PDO. > В Java кроме PreparedStatement есть еще и Statement, который при неумелом использовании > может приводить к SQL Injection. Для любителей пристрелить себя из каропки есть JPA - пользуйте его для SQL injection.

6.34, Sw00p aka Jerom (?), 23:10, 28/03/2011 [^] [^^] [^^^] [ответить]	–1 +/–
а вы хоть понимаете ваще для чего нужны препарации запроса ? да правильно чтобы 10 раз не парсить 10 запросов а подставлять значения (хорош для инсертов и апдейтов). имхо для обычного селекта - накладные расходы

4.10, klalafuda (?), 14:37, 28/03/2011 [^] [^^] [^^^] [ответить]	+1 +/–
> что не мешает генерить строку запроса динамически, не так ли? :D Если человек так сильно хочет прострелить себе ногу - ничто не сможет его остановить.

5.11, ананим (?), 14:49, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
именно. зыж я понимаю, сей инцидент есть крЮтой повод провести маркетинговые пляски и пропиарить то или иное решение (прадон, платформу!!! и никак иначе :D). а реальность такова - слабые знания, слабый аудит кода и банальная халатность. то что маркетологи (уже после внедрения ПЛАТФОРМЫ) называют скромно - человеческий фактор, что же вы хотите?.

5.19, User294 (ok), 17:55, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
> Если человек так сильно хочет прострелить себе ногу - ничто не сможет > его остановить. Быдлокодер не хочет стрелять именно себе в ногу осознанно. Он просто пишет код, не думая о том что кто-то может мыслить чуть креативнее чем сам быдлокодер с его полутора извилинами и поэтому внешние данные могут содержать очень странные значения :).

4.20, uZver (??), 17:58, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
>> Плюс обычно (если прочитали как програть на java) JSP ходят в БД через prepareStatement > что не мешает генерить строку запроса динамически, не так ли? :D Это как С++ мне выдал, что в java можно получить утечку памяти - создать статический указатель на список и бесконечно его заполнять =)))

3.6, AlexAT (ok), 13:37, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
Вот так обрезают доступный функционал - а потом удивляются, почему их "ентерпрайзное" поделие ворочается в 100500 раз медленнее нормальными руками написанного кода. А быдлокодеров надо просто к коду не пускать, и все будет хорошо.

4.22, uZver (??), 18:02, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
Как раз java и подходит для быдло-кодеров. Один грамотный надсмотрщик-архитектор и 10-к кодеров пишут работающий софт.

3.42, rihad (?), 10:41, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
> JSP не является скриптом. Скриптом называется код, который на лету интерпретируется в машинный код целевого железа (неважно, через промежуточный байткод для скорости или без него), и *.jsp файлы на x86 или amd64 именно это из себя и представляют.

1.9, crypt (??), 13:50, 28/03/2011 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
новость закономерная. лично я уже давно успел подивиться, что они используют fedora и прочее барахло.

2.12, ананим (?), 14:52, 28/03/2011 [^] [^^] [^^^] [ответить]	+3 +/–
вот из-за таких скороспелых аналитегов такие сабжы в основном и случаются кстати. зыж странно что новость не назвали "взлом федоры с селинухом". такое название имело такое же право на существование как и текущее.

3.13, crypt (??), 16:08, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
Дело не в том, что "Федору сломали", а в том, что люди, которые ставят ее на сервера и в других местах налажают. Народная мудрость подтвердилась.

4.14, ананим (?), 16:34, 28/03/2011 [^] [^^] [^^^] [ответить]	+3 +/–
сори, но бред. тем более что ставят федору одни, а скрипты на пыхпыхе уж точно пишут совсем другие. сомневаюсь что этот сиквел-инжекшн сам собой бы затянулся, если бы стоял к примеру на соляре. ну а винду бы сломали ещё до обнаружения этой дырки.

5.15, crypt (??), 17:11, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
В крупных компаниях есть должности, на которых утверждают весь стек технологий и одобряют конкретные решения. Это не так что программер сказал: PHP! Админ: Fedora! Они пожали друг другу руки и стало так.

6.16, crypt (??), 17:15, 28/03/2011 [^] [^^] [^^^] [ответить]	+1 +/–
То есть кто-то а) нанял админа, который поставил Fedora и не заморачивался обновлением и б) программера, который написал плохой код. Ну и еще мне странно, почему они правда родной Solaris не поставили. Это мягко говоря странно.

6.17, ананим (?), 17:29, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
ну и кто утверждает этот стэк? :D ведь вы так и не сказали. а реально утверждает архитект, которому подчиняется тот программер и еще толпа, и начальник управления тех поддержки, которому подчиняется тот админ и еще толпа. и это кончно кардинально меняет дело. :D зыж так заросла бы (или рассосалась) сия дыра на соляре (или rhel) или нет? или тут бы последовал следующий аргумент вида "надо было этот сиквел-инжекшион делать на жа.. впрочем подставить очередную панацею".

7.18, ананим (?), 17:31, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
а да! забыл еще один аргумент! надо было делать не на быдло-мускуле, а на оракле или дб2.

8.23, uZver (??), 18:08, 28/03/2011 [^] [^^] [^^^] [ответить]	–2 +/–
нет никакой разницы - взлом прошел через PHP и его базовые либы Для java либы с... текст свёрнут, показать

9.28, ананим (?), 19:08, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
вы уверены что такое sql-injection или думаете на жабе нельзя написать прогу та... текст свёрнут, показать

10.29, ананим (?), 19:12, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
вот пример на жабе conn pool getConnection String sql select from us... текст свёрнут, показать

11.30, xwrs (ok), 19:33, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
Так пишут только моральные уроды и самоубийцы ... текст свёрнут, показать

12.31, klalafuda (?), 19:35, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
Но написать указанное выше можно на любом языка программирования ... текст свёрнут, показать

12.38, Sw00p aka Jerom (?), 23:21, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
немного не соглашусь что повашему он должен был создать кучу наследуемых обёрток... текст свёрнут, показать

13.43, uZver (??), 10:43, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
использовать prepareStatement и передавать параметры как параметры Или использо... текст свёрнут, показать

13.46, xwrs (ok), 10:58, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
Нет Один раз изучить JPA и писать как человек... текст свёрнут, показать

14.49, Sw00p aka Jerom (?), 13:04, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
наивный ... текст свёрнут, показать

10.32, uZver (??), 20:22, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
да, вы правы PHP кодеров не стоит брать в качестве разработчика попробуйте про... текст свёрнут, показать

11.33, ананим (?), 21:07, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
я этого не говорил D а вот то, что жабаписцы такие же и в тех же пропорциях - ... текст свёрнут, показать

11.36, Sw00p aka Jerom (?), 23:14, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
пхп быдло-кодеры порой намного лучше пишут чем теже быдло-кодеры на яве почему ... текст свёрнут, показать

12.45, uZver (??), 10:51, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
ага SQL-inject сделать на PHP однозначно легче ... текст свёрнут, показать

13.50, Sw00p aka Jerom (?), 13:06, 29/03/2011 [^] [^^] [^^^] [ответить]	+2 +/–
и намного легче написать безопасное приложение нежеле в яве городить огород... текст свёрнут, показать

12.47, xwrs (ok), 11:10, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
да на пхп легче писать большие обьемы кода для маленьких программ Для сравнени... текст свёрнут, показать

13.51, Sw00p aka Jerom (?), 13:07, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
gt оверквотинг удален хех - сравним ... текст свёрнут, показать

13.57, потому (?), 14:39, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
Это просто приступ снобизма и СМВ Или банальный троллинг ... текст свёрнут, показать

9.37, Sw00p aka Jerom (?), 23:19, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
на какие слои просто в препарациях проверяются типы данных что есть в пэхэпэ ... текст свёрнут, показать

10.40, klalafuda (?), 00:23, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
Эээ Простите, какие типы данных Где проверяются Кем И причем тут PHP, Java ... текст свёрнут, показать

11.52, Sw00p aka Jerom (?), 13:08, 29/03/2011 [^] [^^] [^^^] [ответить]	–1 +/–
вы не в теме ... текст свёрнут, показать

12.53, klalafuda (?), 13:09, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
Судя по всему нет, не в теме Разъясните ... текст свёрнут, показать

13.55, Sw00p aka Jerom (?), 13:21, 29/03/2011 [^] [^^] [^^^] [ответить]	–1 +/–
учите матчасть - удачи ... текст свёрнут, показать

14.58, потому (?), 14:42, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
А на пальцах А с пруфлинками Может вы тоже не в теме ... текст свёрнут, показать

15.59, Sw00p aka Jerom (?), 15:38, 29/03/2011 [^] [^^] [^^^] [ответить]	–1 +/–
смотрите каменты ниже там пруфы... текст свёрнут, показать

16.61, ананим (?), 22:18, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
нету там приводи тут или просто врёшь ... текст свёрнут, показать

17.62, Sw00p aka Jerom (?), 00:49, 30/03/2011 [^] [^^] [^^^] [ответить]	+/–
вот комент http www opennet ru opennews art shtml num 30043 44 а вот пруфы htt... текст свёрнут, показать

18.63, ананим (?), 19:03, 30/03/2011 [^] [^^] [^^^] [ответить]	+/–
ну и какие там слои очередное враньё ... текст свёрнут, показать

10.44, uZver (??), 10:50, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
DAO, DTO, Services и т п Вы не работали в javaEE проектах, потому и не въехали ... текст свёрнут, показать

11.48, klalafuda (?), 12:38, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
ids array sql DELETE FROM SomeTable WHERE record_id IN implod... текст свёрнут, показать

12.60, Alex (??), 16:35, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
Это делается так с помощью PDO sql DELETE FROM SomeTable WHERE record_id IN... текст свёрнут, показать

13.64, Crazy Alex (??), 20:22, 30/03/2011 [^] [^^] [^^^] [ответить]	+/–
Вот, собственно, пока такого не будет во встроенных функциях, быдлокодеры этим п... текст свёрнут, показать

11.54, Sw00p aka Jerom (?), 13:20, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
и кучу ненужных обёрток быстрои маоенький код как сказал выше один гражданин ... текст свёрнут, показать

11.56, Sw00p aka Jerom (?), 13:42, 29/03/2011 [^] [^^] [^^^] [ответить]	+/–
а почему бы и нет зачем городить всякую фигню если можно одним разом попроправ... текст свёрнут, показать

8.25, crypt (??), 18:49, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
Заметь, из нас двоих, аноним, _для_тебя_ стал новостью взлом сервера ... текст свёрнут, показать

9.27, ананим (?), 19:00, 28/03/2011 [^] [^^] [^^^] [ответить]	+/–
заметь, ломают сайты и на дотнетах, и на жабе и для меня это давно не новость н... текст свёрнут, показать

игнорирование участников | лог модерирования

Добавить комментарий

Текст: