Yahoo! şirkətinə məxsus fotoşəkilləri paylaşmaq üçün nəzərdə tutulmuş Flickr internet xidmətində bir neçə təhlükəli boşluq aşkarlanmışdır. Mütəxəssislər ixtiyari kodu uzaqdan icra etmək imkanı və SQL inyeksiya olduğunu müəyyən etmişlər. Resursun verilənlər bazası və serverləri təhlükə altında olmuşdur.
Boşluqları aşkarlamış misirli İbrahim Raafat (Ibrahim Raafat) 5 ay əvvəl istifadə verilmiş Flickr Photo Books əlavəsində bir neçə SQL inyeksiyanın olduğunu söyləmişdir.
Mütəxəssisin sözlərinə görə 2 parametrdəki boşluq (page_id və items) kor inyeksiyaya aiddir. Bir parametrdəki boşluq (order_id) birbaşa SQL inyeksiyadır. Bu boşluqlardan uğurlu istifadə nəticəsində MySQL inzibatçı parolunu və verilənlər bazasına giriş əldə etməyə imkan verir.
Bundan əlavə, Flickr load_file(“/etc/passwd“) funksiyası vasitəsilə cinayətkarlara ixtiyari kodu uzaqdan icra etmək imkanı yaradır. Raafat funksiyanın köməyi ilə serverdə saxlanılan gizli faylları aça bilmişdir.
Mütəxəssis öz fayllarını serverdə yerləşdirərək işə sala bilmişdir. Hal-hazırda Yahoo! boşluqları aradan qaldırıb.
Mənbə: www.securitylab.ru
