|
ريد هات قالت إنها أصلحت عدة ثغرات كانت تسمح للقراصنة بالوصول إلى قواعد البيانات (البوابة العربية للأخبار التقنية) |
أعلنت مؤسسة ريد هات (Red Hat) الرائدة في عالم المصدر
المفتوح وحلوله عبر موقعها على الإنترنت عن إصلاحها عدة ثغرات برمجية كانت
تسمح للقراصنة باستخراج المعلومات من قواعد البيانات باستخدام "حقن بلايند
أس كيو إل" (Blind SQL injection) بعدما أبلغها بها هاكر أو "قرصان إنترنت"
مصري.
و"أس كيو أل" (SQL) هي لغة برمجية ذات أغراض خاصة مصممة
لإدارة البيانات في أنظمة قواعد البيانات العلائقية، أما حقن "أس كيو أل"
فهو تقنية تستخدم عادة لمهاجمة موقع إنترنت بتضمين جزء من برمجية "أس كيو
أل" بشكل نموذج حقل إدخال في صفحة ويب تُستغل ثغرة أمنية في تطبيق
إنترنت للوصول إلى قاعدة بيانات الموقع وتفريغها.
ويعد حقن برمجيات "أس كيو أل" مطابقا لحقن "أس كيو
أل" العادي، غير أنه عندما يحاول المهاجم استغلال التطبيق تظهر له الصفحة
الرسمية التي حددها المطور بدلا من ظهور رسالة خطأ. واستخدام "بلايند أس
كيو أل" يزيد من صعوبة الهجمة، إلا أنه ليس مستحيلا.
وذكر الهاكر المصري محمد رمضان أنه أخبر مؤسسة "ريد هات" عن ثلاثة عيوب في نهاية العام 2012 وقامت بإصلاحها مع بداية هذا العام.
ونقل
موقع البوابة العربية للأخبار التقنية عن الهاكر "الأخلاقي" قوله إن إدراج
هذه البرمجيات الخبيثة يسمح للمهاجمين بقراءة الملفات التي خزنت في شبكة
الإنترنت. وأحد أسباب هذه الثغرة هو عدم احتواء النص البرمجي للتطبيق على
تعليمات صحيحة.
وكان رمضان قد اكتشف مؤخرا ثغرة خطيرة في تطبيق الكاميرا
الخاص بموقع فيسبوك على أجهزة آيفون وآيباد تتيح إمكانية اختراق حساب
المستخدم عبر شبكات الواي فاي، وقامت فيسبوك بإصلاح الثغرة وقدمت مكافأة
له.