資料庫是在科技界最流行的産品了,所有大型的科技巨頭都是它們的主要客戶,包括,雅虎、Facebook、谷歌、Netflix、推特、eBay等。
什麼是資料庫?
資料庫(Database)是按照資料結構來組織、存儲和管理資料的倉庫,它産生于距今六十多年前,随着資訊技術和市場的發展,特别是二十世紀九十年代以後,資料管理不再僅僅是存儲和管理資料,而轉變成使用者所需要的各種資料管理的方式。資料庫有很多種類型,從最簡單的存儲有各種資料的表格到能夠進行海量資料存儲的大型資料庫系統都在各個方面得到了廣泛的應用。
在資訊化社會,充分有效地管理和利用各類資訊資源,是進行科學研究和決策管理的前提條件。資料庫技術是管理資訊系統、辦公自動化系統、決策支援系統等各類資訊系統的核心部分,是進行科學研究和決策管理的重要技術手段。
最近正派黑客古輪斯基發現了這個漏洞并且報告給了各大廠商來修複在競态條件漏洞的存在,具體存在MySQL、MariaDB和Percona中,可被關聯使用掌控伺服器。同時可以擁有本地的資料庫檢索功能、可以插入建立權限的使用者,可利用此漏洞執行任意代碼并将自身賬戶權限提升到系統使用者。系統使用者權限下,伺服器上所有資料的資料庫全部都可以掌握到手,同時結合其他更新檔的漏洞擷取rootshell。
使用者在通路資料庫時是非常危險的,利用這些漏洞可以獲得資料庫通路權限。也可利用這些漏洞來将權限提升至上帝模式。
漏洞使受影響資料庫具備低權限的本地使用者,提權為資料庫系統使用者,進行執行惡意代碼的上帝模式,将使攻擊者擷取資料庫伺服器上資料庫的通路權。該漏洞如果擷取到的權限級别,與其他漏洞疊加,将mysql使用者升至root使用者,攻擊者就開啟了伺服器的上帝模式了。這是很可拍的威脅。
科達物德·古輪斯基還描述了未打更新檔的系統,擷取完整控制權的顯示過程。
是以IT管理者們盡早打上更新檔,防止将來的新一波漏洞攻擊。
不能立即打上更新檔的IT管理者們,可關閉資料庫伺服器配置中的符号關聯,在my.cnf中令symbolic-links=0,這樣就可以了。
作者:陳傑
來源:51CTO