Poważna dziura w Plesku
Adam Haertle dodał 24 lutego 2012 o 23:18 w kategorii Błędy, Drobiazgi
z tagami: Plesk • SQLi
Błąd w popularnym interfejsie do zarządzania serwisem www i związanym z nim serwerem prawdopodobnie stanowił drogę włamania do witryny Federalnej Komisji Handlu. Błąd polegał na SQL injection w interfejsie API. Błąd znany był od września i wg twórców aplikacji od września dostępne były poprawki. Wielu klientów informuje jednak, że aż do połowy lutego nie trzymało żadnej informacji o konieczności aktualizacji aplikacji. Opisywany błąd jest tym poważniejszy, że umożliwiał pełne przejęcie kontroli nad panelem, przez co dawał włamywaczowi pełen dostęp do serwera. Istnieje więc możliwość, że po wykorzystaniu błędu włamywacz mógł tworzyć „tylne drzwi” na serwerze i samo załatanie dziury w Plesku nie wystarczy, by usunąć problem.
Podobne wpisy
- Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec
- Wtyczki dla sklepów obsługujących Przelewy24 z krytycznymi błędami bezpieczeństwa
- Jak przez SQLi włamać się do serwerów 8 banków na całym świecie
- Połączeniami telefonicznymi do SQLi, czyli jak hakują prawdziwi mistrzowie
- Kilkadziesiąt poważnych i wiele innych błędów w serwerach w domenie GOV.PL
