Sabo3eur
13th July 2011, 11:31 AM
گروه امنیت شبکه - این آسیبپذیری در سرور مدیریت داده یا Data Management Server شرکت سامسونگ، به هکرها اجازه میدهد که بواسطه دستورات SQL آنرا هک کنند.
این نوع هک که به آن SQL Injection گفته میشود ، در خطرناکترین انوع هک دستهبندی میشود. به این علت که هکر با اجرای دستورات SQL نه تنها میتواند به تغییر کلمه عبور مدیر سیستم دست بزند، بلکه امکان دارد بتواند مستقیماً دادهها را تغییر دهد
[توضيح كوتاه اين است كه SQL Injection يكي از روشهاي قديمي هك كردن با استفاده از اسكريپت (Script)هاي زبان SQL است. روش كار در قالب مثالي، مختصرا به اين ترتيب است: در حالت عادي وقتي كه شما به صفحه وب در حساب كاربري خود وارد ميشويد (Login ميكنيد) ، در يك textbox نام كاربري و در textbox ديگر كلمه عبور خود را وارد ميكنيد. هنگام كليك بر دكمه Login ، اتفاقي كه ميافتد (و در واقع برنامهنويس آنرا انجام داده) اين است كه بواسطه دستورات SQL ، كه يك زبان كار با بانكهاي اطلاعاتي (Data Base) است، عبارتي كه در textbox مربوط به نام كاربري و كلمه عبور وارد كردهايد ، به بانك ارسال و صحت آن بررسي ميشود. در هك به روش SQL Injection، به جاي وارد كردن نام كاربري و كلمه عبور در textbox مربوطه، Script ها و يا در واقع دستورات خاص SQL در آن textbox نوشته ميشود. در اينصورت وقتي كه برنامه يا وبسايت ميخواهد (به خيالش) با ارسال محتويات textbox نام كاربري را در Data Base چك كند، درواقع SQL نوشته شده توسط هكر را براي Data Base ارسال ميكند. و گاهي با اين تربيب هكر ميتواند اطلاعات مورد نظر خود را از بانك اطلاعاتي بخواهد. بنابراين دقت در نوع ارسال پارامترها و پيشبيني چنين حملاتي جز وظايف برنامهنويس است]
شرکت سامسونگ برای رفع این موضوع پیشنهاد کرده است که کاربران سیستم DMS ، نسخه به روز شده ابزار خود را دریافت کنند. برای اینکار میتوان به راهنمای تهیه شده به آدرس زیر مراجعه کرد:
http://www.dvmcare.com/SRM/dms/HowToUpgradeDMSSW.pdf
و کاربران با به روز رسانی نسخه DMS به نسخه 1.4.3 نرمافزار ، کافی است دیواره آتشین خود را برای این ابزار جدید ، دوباره ست کنند!
اما جژئیات بیشتری توسط موسسه cert آمریکا در آدرس زیر آورد شده است
http://www.us-cert.gov/control_systems/pdf/ICSA-11-069-01.pdf
این نوع هک که به آن SQL Injection گفته میشود ، در خطرناکترین انوع هک دستهبندی میشود. به این علت که هکر با اجرای دستورات SQL نه تنها میتواند به تغییر کلمه عبور مدیر سیستم دست بزند، بلکه امکان دارد بتواند مستقیماً دادهها را تغییر دهد
[توضيح كوتاه اين است كه SQL Injection يكي از روشهاي قديمي هك كردن با استفاده از اسكريپت (Script)هاي زبان SQL است. روش كار در قالب مثالي، مختصرا به اين ترتيب است: در حالت عادي وقتي كه شما به صفحه وب در حساب كاربري خود وارد ميشويد (Login ميكنيد) ، در يك textbox نام كاربري و در textbox ديگر كلمه عبور خود را وارد ميكنيد. هنگام كليك بر دكمه Login ، اتفاقي كه ميافتد (و در واقع برنامهنويس آنرا انجام داده) اين است كه بواسطه دستورات SQL ، كه يك زبان كار با بانكهاي اطلاعاتي (Data Base) است، عبارتي كه در textbox مربوط به نام كاربري و كلمه عبور وارد كردهايد ، به بانك ارسال و صحت آن بررسي ميشود. در هك به روش SQL Injection، به جاي وارد كردن نام كاربري و كلمه عبور در textbox مربوطه، Script ها و يا در واقع دستورات خاص SQL در آن textbox نوشته ميشود. در اينصورت وقتي كه برنامه يا وبسايت ميخواهد (به خيالش) با ارسال محتويات textbox نام كاربري را در Data Base چك كند، درواقع SQL نوشته شده توسط هكر را براي Data Base ارسال ميكند. و گاهي با اين تربيب هكر ميتواند اطلاعات مورد نظر خود را از بانك اطلاعاتي بخواهد. بنابراين دقت در نوع ارسال پارامترها و پيشبيني چنين حملاتي جز وظايف برنامهنويس است]
شرکت سامسونگ برای رفع این موضوع پیشنهاد کرده است که کاربران سیستم DMS ، نسخه به روز شده ابزار خود را دریافت کنند. برای اینکار میتوان به راهنمای تهیه شده به آدرس زیر مراجعه کرد:
http://www.dvmcare.com/SRM/dms/HowToUpgradeDMSSW.pdf
و کاربران با به روز رسانی نسخه DMS به نسخه 1.4.3 نرمافزار ، کافی است دیواره آتشین خود را برای این ابزار جدید ، دوباره ست کنند!
اما جژئیات بیشتری توسط موسسه cert آمریکا در آدرس زیر آورد شده است
http://www.us-cert.gov/control_systems/pdf/ICSA-11-069-01.pdf