22/08/19
Команда реагирования на компьютерные инциденты Германии CERT-Bund предупредила интернет-провайдеров и операторов связи о небезопасности оставления web-серверов Sphinx с заводскими настройками.
Система полнотекстового поиска Sphinx позволяет легко и быстро находить данные в целых базах данных или в простых файлах. Решение является кроссплатформенным и доступно для Linux, Windows, macOS, Solaris, FreeBSD и других ОС.
Как отметили специалисты CERT-Bund, по умолчанию в Sphinx отсутствует механизм аутентификации, из-за чего получить доступ к серверу, просматривать, редактировать и удалять данные в БД может любой желающий.
По умолчанию сервер слушает порты 9306/TCP и 9312/TCP на всех сетевых интерфейсах. Администраторы могут проверить доступность своих серверов через интернет с помощью стандартных инструментов в Linux/Unix.
Специалисты рекомендуют отключить серверы Sphinx от интернета и блокировать все входящие подключения. Если web-сервер и Sphinx находятся на одном компьютере, администраторы могут настроить Sphinx таким образом, чтобы он слушал только локальные интерфейсы.
