В мире технологий
24-04-2009 18:07
Противники «Дома-2» по ошибке атаковали не тот сайт ТНТ
24-04-2009 17:57
В Госдуму РФ внесена концепция закона об Интернете
24-04-2009 17:51
Mebroot — почти неуловимый вирус
24-04-2009 17:40
Киберпреступники массово скупают телефоны Nokia 1100
22-04-2009 18:57
Операционная система Symbian портирована на платформу Intel Atom
22-04-2009 18:56
nVidia представила бета-версию драйвера OpenCL
22-04-2009 18:29
Спецификация Bluetooth 3.0 представлена официально
21-04-2009 03:52
Oracle покупает Sun Microsystems.
19-04-2009 15:42
В Интернете появился первый ботнет из компьютеров Apple
19-04-2009 15:40
Компания Samsung анонсировала первые на рынке накопители SSD с аппаратным шифров
19-04-2009 15:36
Создатели торрент-трекера Pirate Bay проиграли дело
17-04-2009 07:12
Компания Google представила русскую версию веб-редактора медийной рекламы
16-04-2009 10:47
Обнаружена фундаментальная уязвимость в MS SQL Server, MySQL и PostgreSQL
15-04-2009 16:17
Скончался создатель «Рамблера» Дмитрий Крюков
15-04-2009 16:14
Частные лица могут пользоваться корпоративными тарифами МТС
15-04-2009 16:09
LaCie Rugged XL: противоударный внешний винчестер на 1 Тб
14-04-2009 16:40
Рунет под глобальным DDoSом?
14-04-2009 16:18
Минкомсвязь ищет альтернативу «Связьинвесту»
14-04-2009 16:12
В сети «Одноклассники» введена плата за смайлики
14-04-2009 16:07
Новая версия офисного пакета Microsoft переедет в онлайн и станет бесплатной
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Сообщение
16-04-2009 10:47
Автор: nikedeforest
Обнаружена фундаментальная уязвимость в MS SQL Server, MySQL и PostgreSQL
Разработчик популярного среди ИТ-администраторов программного средства SQLMap Бернардо Гаимараес говорит, что ему удалось обнаружить фундаментальную уязвимость в базах данных MS Sql Server, MySql и PostreSQL, эксплуатация которой способна привести не только в получению контроля над самой базой данных, но и операционной системой, в этой эта БД работает.


Гаимараес собирается представить конкретные подробности своей находки в середине апреля на ИТ-конференции Black Hat в Амстредаме. По словам исследователя, обнаруженная им уязвимость может быть задействована при проведении атаки типа SQL-инъекция.

  Также надо отметить, что в случае разработки Гаимараеса, одновременно с внедрением SQL-кода происходит также и переполнение буфера обмена базы данных, что позволяет провести дальнейшую атаку на операционную систему. Проведение атаки для SQL Server и для Mysql/postgresQL несколько различаются, но эффект в каждом случае один и тот же - полный захват контроля над сервером баз данных.

  "Я использовал SQL-инъекцию только как одну из ступеней для достижения своей цели, которая заключалась в получении контроля над серверной операционной системой. Для подготовки к этой атаке была проведена большая работа, связанная с манипулированием и фильтрацией данных", - говорит он.

  По его словам, предварительные данные показывают, что новой атаке подвержены "слишком много" сайтов, поэтому раскрывать данные о ней сейчас было бы чересчур опасно. По оценкам Гаимараеса, из всех сайтов, работающих на базе SQL Server/MySQL/PostgreSQL, примерно 10% подвержены данной атаке.

  Чтобы минимизировать угрозу атаки эксперт рекомендует проверить безопасность веб-приложений, а также по возможности сократить число пользовательских записей, авторизовавшись по которым, можно работать с базами данных.