Yazılım üreticileri SQL enjeksiyon açıklarını temizlemeye çağrıldı


Dalış Özeti:

  • Siber Güvenlik ve Altyapı Güvenliği Ajansı ve FBI, yazılım üreticilerini SQL enjeksiyon açıklarını ortadan kaldırmak için adımlar atmaya çağırdı Pazartesi günü yayınlanan bir uyarıda.
  • CISA ve FBI, yazılım üreticilerinin liderliklerinden, kodlarının SQL enjeksiyon risklerine karşı duyarlı olup olmadıklarını öğrenmek için resmi incelemeler başlatmalarını istiyor. Ajanslar, eğer bulunursa, şirketlerden bu kusurların mevcut ve gelecekteki yazılımlarda ortadan kaldırılması için acil adımlar atmasını istiyor.
  • Ajanslar, SQL enjeksiyon kusurlarının, bağlantılı yaygın saldırılarda oynadığı rolü gösterdi. MOVEit dosya aktarım yazılımı2023'te binlerce kuruluşu etkiledi.

Dalış Bilgisi:

CISA ve FBI'a göre yazılım endüstrisi, SQL enjeksiyon kusurları riskini onlarca yıldır biliyor ancak üreticiler bu kusurları yazılımdan kaldırmak için yeterli adımları atmakta başarısız oldu.

Yapı sorgulama dili anlamına gelen SQL, ilişkisel veritabanlarındaki verileri yönetmek için kullanılan bir programlama dilidir.

Ajanslara göre geliştiriciler, yazılım tasarımı ve geliştirme aşamalarında değişiklik yaparak kötüye kullanım riskini ortadan kaldırabilir. Geliştiriciler, parametreli sorgularla “hazırlanmış ifadelerin” kullanımını benimseyerek, SQL kodunu kullanıcı tarafından sağlanan verilerden ayırabilir ve bu da bu tür güvenlik açıklarını önleyebilir. uyarıya göre.

Rapid7 güvenlik araştırma müdürü ve Metasploit geliştirme başkanı Spencer McIntyre, e-posta yoluyla şunları söyledi: “Hazırlanmış beyanlara geçiş genel olarak makul bir istek gibi görünüyor, ancak güvenlik liderleri için 'makul' tüm yazılım üreticileri için makul anlamına gelmeyebilir.” “Kütüphanelerin CISA'nın önerdiği modeli desteklemek için kolayca erişilebileceğini hayal ediyorum.”

CISA yetkilileri, Biden yönetiminin ulusal siber güvenlik stratejisi kapsamında yazılım ve donanım üreticilerine kendi ürünlerini üretmeleri yönünde baskı yaptı. tasarım gereği güvenli ve varsayılan olarak güvenli. Bu, müşterilerin bir ürün gönderilip bir bilgisayar ağına kurulduktan sonra gizli kusurları aramasına veya yapılandırmaları değiştirmesine gerek kalmayacağı anlamına gelir.



Source link