웹 사이트의 데이터베이스 해킹이 가능한 새로운 MySQL 제로데이 등장New MySQL Zero Days — Hacking Website Databases 세계에서 두 번째로 인기있는 데이터베이스 관리 소프트웨어인 MySQL에서 공격자가 데이터베이스를 온전히 제어할 수 있도록 허용하는 심각한 제로데이 취약점이 2건 발견되었습니다. 폴란드의 보안 연구원인 Dawid Golunski는 MySQL 버전과 MariaDB와 PerconaDB에까지 영향을 미치는 두 개의 제로데이인 CVE-2016-6662, CVE-2016-6663을 발견했습니다. Golunski는 오라클, MariaDB, PerconaDB 측에 이 사실을 알린 후, CVE-2016-6662에 대한 PoC 익스플로잇 코드를 공개했습니다. Maria..

국내외 보안동향 2016. 9. 19. 13:23

MySQL의 SSL/TLS 연결을 다운그레이드시키는 취약점 발견Vulnerability enables downgrading of MySQL SSL/TLS connections Duo Security의 연구원이 MySQL 클라이언트 라이브러리 및 MariaDB, Percona에서 MySQL SSL/TLS 연결을 다운그레이드시킬 수 있는 취약점을 발견했습니다. 이 취약점은 ‘BACKRONYM’ (Bad Authentication Causes Kritical Risk Over Networks Yikes MySQL)이라고 명명되었습니다. Duo Security의 Steve Manzuik 보안 연구 디렉터는 SC Magazine을 통해 해당 취약점에 대해 아래와 같이 설명했습니다. “BACKRONYM을 악용하기 ..

국내외 보안동향 2015. 5. 6. 11:29

워드프레스, 2개의 XSS 취약점 잇달아 발견 4월 21일, 워드프레스가 최신 버전인 4.1.2버전을 공개했습니다. 이번 버전에서는 매우 심각한 stored-xss-vulnerability취약점이 수정되었습니다. 그리고 얼마 뒤, 해당 취약점에 대한 세부 내용이 공개되었습니다. 첫 번째 XSS 취약점 상세분석 이 취약점은 보고된지 무려 14개월이 지나서야 패치가 진행되었습니다. 해당 취약점은 MySQL의 특성을 이용한 XSS 취약점입니다. MySQL의 utf8 문자열 집합 중, 한 개의 문자열은 1~3 바이트로 이루어집니다. 만일 한 개의 문자열이 3바이트보다 크다면, MySQL이 해당 문자열을 utf8mb4의 형식으로 저장합니다. 따라서 4바이트의 문자열을 utf8 문자열에 삽입하는 경우, MySQL의..

국내외 보안동향 2015. 4. 29. 16:19