“A pure node.js javascript Client implementing the MySQL protocol.”

漏洞

在某次安全評估中，Synacktiv專家無意中發現某個應用可以從另一臺MySQL服務器中讀取敏感數據，而該應用程序正是使用了mysql的npm軟件包。該npm軟件包所支持的LOAD DATA LOCAL命令可讓服務器讀取客戶端機器上的文件。 盡管用戶可以通過指定標記LOCAL_FILES來禁用這個危險功能，但實際上該配置并不生效，最后導致惡意的MySQL服務器始終可以讀取連接客戶端本地的文件。

影響版本

文章發布時多個2.x版本受到影響(2.17.1受到影響)。

技術細節

根據官方文檔的說法，mysql的npm包支持在進行連接時指定各種flag(某些設定參數)，其中的LOCAL_FILES代表在客戶端中是否可以使用LOAD DATA LOCAL命令。

以下示例顯示了如何禁用該命令：var mysql = require('mysql');

var connection = mysql.createConnection('mysql://test:test@127.0.0.1/test?flags=-LOCAL_FILES');

connection.connect();

connection.query('SELECT 1', function (error, results, fields) { });

connection.end();

通過抓包軟件可以看到，LOAD DATA LOCAL是不可用的：

但是，服務器仍然可以要求連接過來的客戶端讀取本地文件，下圖中的bettercap命令是Bettercap已經集成的一個簡易惡意MySQL服務器，相關鏈接為[https://github.com/bettercap/bettercap/wiki/mysql.server](https://github.com/bettercap/bettercap/wiki/mysql.server)：

可以從上圖看出“/etc/passwd”已被讀取。該漏洞存在的根本原因是LOCAL_FILES標記并沒有在代碼運行時起到作用。

時間線

2019/05/10：發現漏洞

2019/05/14：發送報告給官方

2019/05/14：官方確認收到

2019/05/15：同意90天漏洞公開期

2019/07/24：發送郵件詢問最新進展，無回應

2019/10/24：發送郵件詢問最新進展，無回應

2019/11/04：漏洞詳情公開

感謝你的閱讀！本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場：https://nosec.org/home/detail/3157.html

來源：https://www.synacktiv.com/ressources/advisories/Local_file_disclosure_mysql_npm_package_2.17.1.pdf

總結

以上是生活随笔為你收集整理的mysql漏洞包_MySQL npm包中的本地文件泄露漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。