知道创宇404实验室:发现多家公有云RDS服务存在任意文件代码泄露

最近,知道创宇404实验室测试发现,国内外多家公有云平台的RDS存在安全漏洞可导致任意文件代码泄露。该漏洞主要是由RDS服务数据迁移功能远程连接第三方数据库时使用了默认配置引起,攻击者可以通过该漏洞最终实现任意文件读取漏洞,属于通用漏洞。

发现该漏洞后,知道创宇404实验室对国内外13家公有云提供商平台进行了测试,其中有5家不支持远程数据迁移不存在该问题外,确认5家存在该漏洞风险。 另外需要提醒,这种通用的漏洞模型还影响到一些通用应用程序远程数据库访问接口功能。

目前,知道创宇404实验室已经把相关漏洞通报给相关厂商及国家信息安全漏洞共享平台(CNVD),多家厂商已经确定并修复了该漏洞。另外,知道创宇404实验室愿意免费提供对应的技术援助,如有需要请联系我们。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181201B0A6QQ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券