MySQL может сливать логины и пароли MitM-атакующим

Александр Панасенко 18 Апреля 2017 - 08:46

...

MySQL может сливать логины и пароли MitM-атакующим

Исследователь Пали Рохар (Pali Rohár) обнаружил, что разработчики MySQL не сумели до конца исправить старую уязвимость, известную как Backronym. В результате этого образовалась новая проблема CVE-2017-3305, которую специалист назвал «Решето» (Riddle).

Рохар пишет, что баг представляет опасность для MySQL 5.5 и 5.6, хотя исправление было представлено в версиях 5.5.49 и 5.6.30, оно не сумело решить проблему по конца. Впрочем версии старше 5.7, равно как и MariaDB, проблеме не подвержены.

Напомню, что проблема Backronym состояла в том, что MySQL оставлял пароль видимым для атакующих, что позволяло злоумышленникам перехватить учетные данные, даже если подключение защищено и использует SSL. Для этого хакерам нужно было лишь предварительно реализовать man-in-the-middle атаку, пишет xakep.ru.

«Обновление безопасности MySQL 5.5.49 и 5.6.30 добавляло дополнительную проверку параметров безопасности после завершения процесса аутентификации. Так как она осуществляется после аутентификации, атакующий может использовать атаку man riddle-in-the-middle и даунгрейд SSL, чтобы похитить учетные данные и немедленно использовать их для аутентификации на MySQL-сервере, — пишет Рохар. — Самое смешное заключается в том, что MySQL-клиент не сообщит о каких-либо ошибках, связанных с SSL, когда сервер откажется аутентифицировать пользователя, вместо этого появится сообщение сервера, об ошибке шифрования. Хуже того, когда атака riddle in the middle активна, даже сообщение об ошибке находится под контролем злоумышленников».

Исследователь призывает всех срочно обновиться до MySQL 5.7 или перейти на использование MariaDB, где проблема была полностью устранена. По словам Рохара, сообщать о баге разработчикам Oracle бесполезно, если вы не являетесь их клиентом.

«Они просто игнорируют любые сообщения, и были бы очень счастливы, если бы никто не узнал об этом, и им не пришлось бы исправлять баги», — пишет специалист.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 10:39

Соответствие законодательству РФ Домашние пользователи Персональный VPN Анонимайзеры

На Госуслугах появится кнопка для жалоб на просьбы отключить VPN

На портале «Госуслуги» появится специальная кнопка, с помощью которой пользователи смогут пожаловаться на всплывающее сообщение с просьбой отключить VPN, даже если VPN у них не используется. Об этом сообщило Минцифры в своём канале в мессенджере «Максе».

В министерстве отметили, что такая кнопка появится «в ближайшее время». Она должна помочь пользователям быстрее сообщать о случаях, когда сервис ошибочно определяет подключение как VPN-соединение и ограничивает доступ.

Также в Минцифры заявили, что большинство российских сервисов ограничивают доступ для пользователей с включённым VPN. Если предупреждение об установленном VPN появляется ошибочно, ведомство советует обращаться в поддержку конкретного сервиса.

По версии Минцифры, ограничения вводятся для защиты данных, которые пользователи вводят на сайтах и в приложениях. В министерстве считают, что многие VPN-сервисы не обеспечивают должную защиту конфиденциальности и персональных данных, а злоумышленники могут использовать их для перехвата трафика и информации.

Таким образом, новая кнопка на «Госуслугах» должна стать способом быстро сообщать о ложных срабатываниях. Особенно это может быть полезно тем, кто находится за границей или сталкивается с ограничениями доступа без фактического использования VPN.

Напомним, ранее в Роскомнадзоре заявили, что корпоративный VPN внутри России пока никто не отменяет. По данным ведомства на 22 апреля 2026 года, использование VPN российскими компаниями для внутренних рабочих задач не ограничивается.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!