Schlagwort-Archive: SQL

Hacker späht Nutzerdaten in Nokias Entwicklerforum aus

Über eine Schwachstelle in der Forensoftware hat ein Hacker das Entwickler-Forum des Handyherstellers Nokia kompromittiert. Der Angreifer verschaffte sich über eine SQL-Injection Zugriff auf die Datenbank des Entwicklerforums unter developer.nokia.com, und konnte laut Nokia so auf die E-Mailadressen der hier registrierten Nutzer zugreifen.

Quelle: Heise.de / Zum Artikel

via abzocknews.de

Share

Hunderttausende gehackter Webseiten sollten Scareware verbreiten

Kriminelle haben über eine automatisierte SQL-Injection-Attacke hunderttausende von Webseiten manipuliert und dabei Links zu Domains mit Scareware eingebettet. Besucher einer infizierten Webseiten bekamen dann unter Umständen eine weitere Seite zu Gesicht, in der ein vorgeblicher Viren-Scanner eine Infektion des Systems vorgaukelte.

Unklar ist allerdings, in wievielen Fällen es den Kriminellen gelang, die Links so einzubauen, dass sie auch wirklich funktionierten. Durch die relativ ungezielte SQL-Injection-Attacke auf Inhaltsdatenbanken von Content-Management-Systemen gelangten die Links in vielen Fällen in Felder, in denen sie bei der Darstellung überhaupt nicht interpretiert und damit auch nicht abgerufen werden – beispielsweise im Titel einer Seite. Die URLs fanden sich nach Angaben von Websense auch in einige URLs zu itunes-Podcasts, die ihren Weg dorthin eventuell über manipulierte RSS-Feeds des jeweiligen Anbieters fanden. Auch dort lief der Angriff offenbar jedoch ins Leere, weil der Browser die injizierten Links nicht interpretierte.

quelle : heise.de

Share

The Pirate Bay: 4 Millionen Nutzerdatensätze abgegriffen

Ein argentinischer Hacker hat vier Millionen Datensätze des umstrittenen Torrent-Trackers The Pirate Bay abgegriffen. Laut dem renommierten Security-Journalisten Brian Krebs enthalten die Daten Login-Namen, E-Mail-Adressen, Passwort-Hashes, IP-Adressen und hochgeladene Torrents von registrierten Nutzern. Der 23-jährige Argentinier “Ch Russo” konnte gegenüber Krebs glaubhaft belegen, dass er tatsächlich im Besitz von Login-Daten ist.

An die Nutzerdatenbank sei Russo durch eine Reihe von SQL-Sicherheitslücken gelangt. Auf dem Weg verschaffte er sich offenbar auch Zugriff auf das Admin-Interface von The Pirate Bay.

quelle und voller Bericht : heise.de

Share

Webseiten-Massenhack richtet sich gegen Online-Spieler

Die seit rund einer Woche registrierten Massenhacks von Webseiten haben neuesten Analysen zufolge zum Ziel, Online-Gamern die Zugangsdaten für Spiele zu stehlen. Prominenteste Opfer der Hacks waren das Wall Street Journal und die Jerusalem Post.

Bei den Webservern handelt es sich zwar durchgehend um Systeme auf Basis von Microsofts Internet Information Server (IIS) und ASP.NET, den Untersuchungen mehrerer Sicherheitsdienstleister zufolge manipulierten die Angreifer die Webseiten aber offenbar über SQL-Injection-Schwachstellen in den selbst geschriebenen Webanwendungen der Betreiber. Administratoren sollten ihre Systeme auf mögliche Manipulationen überprüfen.

quelle und vollstaendiger Bericht :  heise.de

Share

Offene MySQL-Sicherheitslücken

Die kommende MySQL-Version 5.1.47 von Oracle soll mehrere wichtige Sicherheitspatches enthalten. Laut Changelog haben die Entwickler drei Sicherheitslücken geschlossen, durch die Angreifer den Server zum Absturz bringen, unbefugten Datenbankzugriff erlangen und schlimmstenfalls beliebigen Schadcode einschleusen und vom Server ausführen lassen könnten. Exakte Versionsangaben zu betroffenen Releases machen die Entwickler nicht.

Der erste Fehler entsteht laut Changelog durch die unzureichende Prüfung des Tabellennamenarguments des COM_FIELD_LIST-Kommandos, sodass ein Angreifer mit DELETE oder SELECT-Rechten in MySQL seit Version 5.1 auf eine beliebige Tabelle unbefugten Lese- und Schreibzugriff auf andere Tabellen tätigen kann.

quelle : heise.de

Share

General Error bei MG Board

Dem ein oder anderen Spieler bzw. foren user ist es sicher aufgefallen der versuchte das Monstersgame Forum aufzurufen, und mit :

General Error
SQL ERROR [ mysqli ]

begruesst wurde, es ist bekannt, und wird auch daran gearbeitet.

Was ist passiert ?

Ganz einfach der Datenbank Server hatte seit einigen Wochen entschieden sich den April zum Nerv Monat zu erklaeren, und erhaengte sich in prozessen oder verweigerte einfach den dienst, was gestern wieder der fall war bis nichts mehr ging.

Nun wird seit gestern Abend nach daran gewerkelt, aber jeder Mensch muss auch mal pennen, daher kann es auch etwas dauern.
Keine Sorge das Board von MG kommt wieder, kein Grund in Panik auszubrechen, wer was zum Spiel sucht, wird auch bei MGwiki fuendig hier : http://mgwiki.aszlig.net, dort sind auch einige erklaerungten und Artikel zum neuen Update vorhanden.

Share

Kleineres Sicherheits-Update für PostgreSQL

Die PostgreSQL-Entwickler haben kleinere Updates aller unterstützten Entwicklungen veröffentlicht. Die jeweils aktuellen Versionen des freien Datenbanksystems lauten nun 8.4.2, 8.3.9, 8.2.15, 8.1.19, 8.0.23 und 7.4.27. Das Release beseitigt ein als kleiner eingestuftes SSL-Authentifizierungsproblem und einen Fehler mit erweiterten Zugriffsrechten bei Indices. Die Entwickler raten allen PostgreSQL-Datenbankadministratoren, ihre Versionen zum nächstmöglichen Zeitpunkt zu aktualisieren.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share