У системі управління базами даних MySQL виявили конструкційний недолік, який може використовуватися для зливу конфіденційної інформації на хакерські сервери, пише “Компьютерное обозрение“.
За даними сайтів Security Boulevard і Bleeping Computer, виявлений баґ дозволяє витягти будь-яку інформацію з неправильно зконфігурованого веб-сервера, що допускає підключення до ненадійних серверів, або з додатків MySQL. Проблема виникає якщо оператор LOAD DATA використовувати з модифікатором LOCAL.
Ця прогалина в безпеці MySQL була таємною зброєю групи хакерів Magecart, завдяки цьому атаки на Newegg, Infowars Store, Cathay Pacific Airways, British Airways, Ticketmaster Entertainment і Oxo International виявилися настільки успішними. У цих диверсіях крадії за допомогою введеного коду перехоплювали платіжні транзакції, що здійснюються між сайтами.
“Адміністратори веб-сайтів повинні розуміти, що такі сторінки, навіть якщо вони не посилаються на сторонній контент, можуть бути виявлені і зламані зловмисниками. Інструменти адміністрування, такі як Adminer, не повинні залишатися незахищеними”, – зазначає Крейг Янг (Craig Young), фахівець з комп’ютерної безпеки з Tripwire.