微软警告数千名云服务客户:数据库或被暴露
据报道,微软的一封电子邮件和一位网络安全研究员表示,该公司在周四警告了数千名云计算客户,包括一些世界上规模最大的企业,入侵者可能有能力阅读、改变甚至删除其主要数据库。
这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现,它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克(Ami Luttwak)是微软云安全集团的前首席技术官。
(福利推荐:阿里云、腾讯云、华为云、TOP云最新优惠活动来了,2核/4G云主机仅689元/3年,点击这里立即抢购>>>)
由于微软不能自行更改这些密钥,周四该公司给其客户发送了电子邮件,告知他们要创建新的密钥。微软发给Wiz的电子邮件显示,微软同意向Wiz支付4万美元,用于奖励其发现并报告了这一漏洞。
微软发言人拒绝立即就此事置评。
微软在发给客户的电子邮件中写到,他们当前已经修复了这个漏洞,而且没有证据表明这个漏洞已经被利用了。该公司写道:“没有迹象表明研究人员(Wiz)以外的外部实体能够访问主要的读写密钥。”
卢特瓦克说道:“这是你能想象到的最糟糕的云计算服务漏洞。这是一个长期存在的秘密。这是Azure的中央数据库,我们能够获得我们想要的任何一个客户的数据库的访问权限。”
卢特瓦克透露,他的团队在8月9日发现了这个被命名为ChaosDB的漏洞,并且在8月12日将此问题报告给了微软。
几个月之前,微软刚刚遇到了一个与安全相关的坏消息。该公司疑似被俄罗斯黑客入侵,他们盗取了微软的一些源代码。不久前,微软还重新修复了一个问题,该问题允许计算机被打印机接管。上周,EXCHange的一个电子邮件缺陷引发了美国政府的紧急警告,客户需要安装几个月前发布的补丁,因为勒索软件团伙现在正在利用这个缺陷。
来源:新浪科技
你还在原价购买阿里云、腾讯云、华为云、天翼云产品?那就亏大啦!现在申请成为四大品牌云厂商VIP用户,可以3折优惠价购买云服务器等云产品,并且可享四大云服务商产品终身VIP优惠价,还等什么?赶紧点击下面对应链接免费申请VIP客户吧:
相关文章
- Redis最快的数据库及简单调用
- 本地连接远程MySql的方法步骤
- Postgresql源码(95)优化器关键数据结构实例
- org.springframework.jdbc.BadSqlGrammarException: Error updating database
- 2022爱分析・数据库厂商全景报告 | 爱分析报告
- 本地navcat远程连接宝塔MySQL数据库
- MySQL数据表
- mysql开发常用SQL
- MySQL主从复制操作步骤
- mysql中localhost和127.0.0.1的区别
- mysql优化之日志配置
- 解决MySQL中Sleep连接过多的问题
- mac下使用brew配置nginx+php+mysql+PostgreSQL
- docker使用笔记IV -- 使用docker的风格分离Nginx PHP Mysql
- Centos7 安装最新版 NGINX,PHP,Mysql,Mariadb
- 使用dropbox同步备份网站和数据库
- 使用pgbench测试你的数据库性能
- 最近数据库总是报错的原因
- 在alpine中运行mysql
- SQL注入之PHP-MySQL实现手工注入-字符型