脆弱性「CVE-2012-2122」:MySQLにおける認証確認を回避 |
セキュリティ専門家Sergei Golubchik 氏は、2012年6月9日、世界で普及しているオープンソース・データベース「MySQL」に存在する不具合を報告。この脆弱性によって、攻撃者がどのようなパスワードを使っても MySQL のデータベースにログインすることが可能になります。本記事では、この問題について説明します。影響のあるコンピュータはそれほど多くはありませんが、被害を受けたコンピュータにとっては重大な問題に値します。 この脆弱性を利用するためには、何よりもまず、標的とする MySQL のデータベース上で有効なユーザ名が最初に必要となります。多くの場合、MySQL サーバにおいてユーザのルート権限は、有効な状態となっており、どのようなユーザ名であってもログインすることが可能です。有効なユーザ名を取得すると、一列のシェルスクリプトが、ログイン要求を繰り返します。そして数秒以内に M
国内外におけるWebサーバ(Apache)の不正モジュールを使った改ざん被害 |
国内外においてWebサーバ(Apache)の不正モジュールを使った改ざん被害が報告されています。これまでの改ざん手口とどのような点が異なるのでしょうか。また、改ざんサイトを入口としてはじまる「Black Hole Exploit Kit(BHEK)」による攻撃の連鎖についても注意が必要です。過去24時間でもっとも感染連鎖の入口となっている不正URL にアクセスしている地域は日本でした。そこでこの記事ではシステム管理者、利用者それぞれの立場で注意すべき点についてお伝えします。 ■感染の発端は迷惑メールから改ざんサイトへ 既に我々のブログ記事「Black Hole Exploit Kit による攻撃、問題のJavaの脆弱性を利用」でもお伝えしているとおり、オンライン決済サービス「PayPal」を装った迷惑メールの被害報告が連日寄せられています。同迷惑メールはメッセージ内に表示される商品番号をク
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
