Diiwaan-hayaha APNIC, oo mas'uul ka ah qaybinta ciwaannada IP-ga ee gobolka Aasiya-Baasifigga, ayaa ka warbixiyey dhacdo ay sababtay in SQL lagu daadiyo adeegga Whois, oo ay ku jiraan xogta sirta ah iyo xadhkaha sirta ah, la dhigay meel fagaare ah. Waxaa xusid mudan in tani aysan ahayn daadintii ugu horreysay ee xogta shakhsi ahaaneed ee APNIC - 2017, xogta Whois ayaa mar horeba loo sameeyay si guud, sidoo kale sababtoo ah kormeerka shaqaalaha.
Habka soo bandhigida taageerada nidaamka RDAP, oo loogu talagalay in lagu beddelo borotokoolka WHOIS, shaqaalaha APNIC waxay dhigeen qashinka SQL ee xogta loo isticmaalo adeegga Whois ee kaydinta daruuraha Google Cloud, laakiin ma xaddidin gelitaanka. Cilad ku timid goobaha, qubitaanka SQL ayaa si guud loo heli jiray muddo saddex bilood ah, waxaana xaqiiqadan la shaaciyay kaliya Juun 4, markii mid ka mid ah cilmi-baarayaasha amniga ee madaxa-bannaan uu tan ogaaday oo uu ogeysiiyay diiwaan-hayaha dhibaatada.
Qashin-qubka SQL wuxuu ka kooban yahay sifooyin "auth" oo ay ku jiraan hashes sirta ah ee lagu beddelayo shayga ilaaliye iyo dhacdada (IRT), iyo sidoo kale qaar ka mid ah macluumaadka macaamiisha xasaasiga ah oo aan lagu soo bandhigin Whois inta lagu jiro su'aalaha caadiga ah (sida caadiga ah macluumaadka xiriirka dheeraadka ah iyo qoraalada ku saabsan isticmaalaha) . Marka laga hadlayo soo kabashada erayga sirta ah, weeraryahannadu waxay awoodeen inay beddelaan waxyaabaha ku jira beeraha oo leh cabbirrada mulkiilayaasha cinwaannada IP-ga ee ku yaal Whois. Shayga ilaaliye waxa uu qeexayaa qofka masuulka ka ah in uu wax ka beddelo koox diiwaano ah oo ku xidhan sifada "mnt-by", iyo shayga IRT waxa uu ka kooban yahay macluumaadka xidhiidhka maamulayaasha ka jawaaba ogaysiisyada dhibka leh. Macluumaadka ku saabsan algoorithmamka sirta ah ee la isticmaalo lama bixiyo, laakiin 2017, MD5 duugoobay iyo CRYPT-PW algorithms (8-dabeeceed sirta ah oo leh xashiish ku salaysan UNIX crypt function) ayaa loo isticmaalay xashiishada.
Ka dib markii la aqoonsaday dhacdada, APNIC waxay bilawday dib u habeynta furaha sirta ah ee walxaha ku jira Whois. Dhanka APNIC, wali lama helin calaamado muujinaya falal sharci darro ah, laakiin ma jiraan wax dammaanad qaad ah oo sheegaya in xogta aysan ku dhicin gacanta weeraryahannada, maadaama aysan jirin diiwaan dhammaystiran oo gelitaanka faylasha Google Cloud. Sidii dhacdadii hore oo kale ka dib, APNIC waxay ballan qaaday inay samaynayso xisaab xidh oo ay isbeddel ku samayn doonto hababka tignoolajiyada si looga hortago daadad la mid ah mustaqbalka.
Source: opennet.ru