Datenbanksicherheits-Digest, Juni-Juli 2016
Nach dem neusten IBM Sicherheitsbericht, der im Juni veröffentlicht wurde, beträgt die durchschnittlichen Kosten eines Datenverderbens mittlerweile $4 Millionen, was eine Steigerung von 29% seit 2013 repräsentiert. Jeder verlorene oder gestohlene Datensatz kostet Unternehmen zirka $158. Es gibt auch einen düsteren 64% Anstieg in gemeldeten Sicherheitsvorfällen. Die Ergebnisse des Berichts legen nahe, dass Cyber-Angriffe besser werden und dass man gehackt wird, wird teurer. Dies erinnert an die Wichtigkeit, auf dem neuesten Stand zu sein, wenn es um Informationssicherheit geht. Hier ist das Digest der kürzlich veröffentlichten DBMS Updates und Informationen über die wichtigsten behobenen Sicherheitslücken.
Umfangreiches Patchen durch Oracle
Oracle setzt seine Ausbreitung fort, indem es eine Vereinbarung im Wert von 9,3 Milliarden Dollar getroffen hat, NetSuite zu erwerben. NetSuite ist ein Unternehmen, das eine Gruppe von Software-Services verkauft, die zur Verwaltung von betrieblichen Abläufen und Kundenbeziehungen für mehr als 30.000 Organisationen verwendet wird. Kurz vor der Bekanntgabe des riesigen Deals hat Oracle das nächste geplante Critical Patch Update veröffentlicht, welches seinen vorheriger unerwünschten Rekord für die Anzahl der Sicherheitslösungen übertrifft, indem es 27,6 Probleme über verschiedene Produkte behebt, einschließlich Oracle Datenbank-Server und Oracle MySQL.
Für Oracle MySQL enthält das Critical Patch Update 22 neue Sicherheitslösungen. Drei dieser Sicherheitslücken (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) könnten ohne Authentifizierung von außen ausnutzbar sein. Hier ist die Oracle MySQL Risikomatrix:
| CVE# | Komponente | Unter- komponente | Protokoll | Remote- Ausnutzung ohne Auth.? | Basis- Wertung | Angriffs- vektor | Angriffs- komplex | Beno. Rechte benöt. | User- Interaktion |
| CVE-2016-3477 | MySQL Server | Server: Parser | Keines | Nein | 8.1 | Lokal | Hoch | Keine | Keine |
| CVE-2016-3440 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 7.7 | Netzwerk | Niedrig | Niedrig | Keine |
| CVE-2016-2105 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Ja | 7.5 | Netzwerk | Niedrig | Keine | Keine |
| CVE-2016-3471 | MySQL Server | Server: Option | Keines | Nein | 7.5 | Lokal | Hoch | Hoch | Keine |
| CVE-2016-3486 | MySQL Server | Server: FTS | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | Keine |
| CVE-2016-3501 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | Keine |
| CVE-2016-3518 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | Keine |
| CVE-2016-3521 | MySQL Server | Server: Typen | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | Keine |
| CVE-2016-3588 | MySQL Server | Server: InnoDB | MySQL Protokoll | Nein | 5.9 | Netzwerk | Hoch | Niedrig | Keine |
| CVE-2016-3615 | MySQL Server | Server: DML | MySQL Protokoll | Nein | 5.3 | Netzwerk | Hoch | Niedrig | Keine |
| CVE-2016-3614 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Nein | 5.3 | Netzwerk | Hoch | Niedrig | Keine |
| CVE-2016-5436 | MySQL Server | Server: InnoDB | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-3459 | MySQL Server | Server: InnoDB | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-5437 | MySQL Server | Server: Log | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-3424 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-5439 | MySQL Server | Server: Privilegien | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-5440 | MySQL Server | Server: RBR | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-5441 | MySQL Server | Server: Replikation | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-5442 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | Keine |
| CVE-2016-5443 | MySQL Server | Server: Verbindung | Keines | Nein | 4.7 | Lokal | Hoch | Keine | Erforderlich |
| CVE-2016-5444 | MySQL Server | Server: Verbindung | MySQL Protokoll | Ja | 3.7 | Netzwerk | Hoch | Keine | Keine |
| CVE-2016-3452 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Ja | 3.7 | Netzwerk | Hoch | Keine | Keine |
Für Oracle Datenbank-Server enthält das Critical Patch Update 9 neue Sicherheitslösungen. Fünf dieser Sicherheitslücken (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) könnten ohne Authentifizierung von außen ausnutzbar sein.
Oracle Datenbank-Server Risikomatrix
| CVE# | Komponente | Paket und/oder Benötigte Rechte | Protokoll | Remote- Ausnutzung ohne Auth.? | Basis- Wertung | Angriffs- vektor | Angriffs- komplex | Beno. Rechte benöt. | User- Interaktion |
| CVE-2016-3609 | OJVM | Sitzung erstellen | Mehrere | Nein | 9.0 | Netzwerk | Niedrig | Niedrig | Erforderlich |
| CVE-2016-3506 | JDBC | Keine | Oracle Net | Ja | 8.1 | Netzwerk | Hoch | Keine | Keine |
| CVE-2016-3479 | Portable Clusterware | Keine | Oracle Net | Ja | 7.5 | Netzwerk | Niedrig | Keine | Keine |
| CVE-2016-3489 | Data Pump Import | Index auf SYS.INCVID | Oracle Net | Nein | 6.7 | Lokal | Niedrig | Hoch | Keine |
| CVE-2016-3448 | Application Express | Keine | HTTP | Ja | 6.1 | Netzwerk | Niedrig | Keine | Erforderlich |
| CVE-2016-3467 | Application Express | Keine | HTTP | Ja | 5.8 | Netzwerk | Niedrig | Keine | Keine |
| CVE-2015-0204 | RDBMS | HTTPS Listener | HTTPS | Ja | 5.3 | Netzwerk | Hoch | Keine | Erforderlich |
| CVE-2016-3488 | DB Sharding | Ausführen auf gsmadmin_internal | Oracle Net | Nein | 4.4 | Lokal | Niedrig | Hoch | Keine |
| CVE-2016-3484 | Datenbankgewölbe | Öffentliches Synonym erstellen | Oracle Net | Nein | 3.4 | Lokal | Niedrig | Hoch | Keine |
Davon abgesehen wurden für die anderen Oracle Produkte neunzehn Sicherheitslücken in neun verschiedenen Produkten mit einer Wertung von 9,8 durch CVSS 3.0 behoben. In Anbetracht dessen, werden viele Nutzer es für unabdingbar halten, das Patch zu installieren.
MySQL 5.7.13 Veröffentlichung
MySQL 5.7.13 wurde offiziell im Juni veröffentlicht. Die neue Version des MySQL Servers hat eine SQL-Schnittstelle zur Schlüsselverwaltung im Schlüsselring, sie ist als eine Gruppe von benutzerdefinierten Funktionen (UDFs) implementiert, die auf die Funktionen zugreifen, die vom internen Schlüsseldienst bereitgestellt werden. Hier sind die in der neuen Version behobenen Sicherheitslücken:
CVE-2016-2106 (OpenSSL advisory, geringe Schwere)Integer-Overflow in der EVP_EncryptUpdate Funktion in crypto/evp/evp_enc.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h erlaubt es Remote-Angreifern, einen Denial of Service (Speicherbeschädigung des Speichers) über eine große Menge an Daten zu verursachen.
CVE-2016-2105 (OpenSSL advisory, geringe Schwere)Integer-Overflow in der EVP_EncodeUpdate Funktion in crypto/evp/encode.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h erlaubt es Remote-Angreifern, einen Denial of Service (Speicherbeschädigung des Speichers) über eine große Menge an binären Daten zu verursachen.
CVE-2016-2109 (OpenSSL advisory, geringe Schwere)Die asn1_d2i_read_bio Funktion in crypto/asn1/a_d2i_fp.c in der ASN.1 BIO-Implementierung in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h erlaubt es Remote-Angreifern, einen Denial of Service (Speicherüberlauf) über eine kurze, ungültige Codierung zu verursachen.
CVE-2016-2107 (OpenSSL advisory, hohe Schwere)Die AES-NI Implementierung in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h berücksichtigt nicht die Speicherzuteilung während einer bestimmten Padding-Prüfung, was es Remote-Angreifern erlaubt, empfindliche Klartextinformationen über einen Padding-Oracle-Angriff gegen eine AES CBC-Sitzung zu bekommen. ANMERKUNG: Diese Sicherheitslücke besteht aufgrund einer fehlerhaften Behandlung von CVE-2013-0169.
CVE-2016-2176 (OpenSSL advisory, geringe Schwere)Die X509_NAME_oneline Funktion in crypto/x509/x509_obj.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es Remote-Angreifern, sensible Informationen aus dem Speicher des Prozessstapels zu erhalten oder einen Denial of Service (Pufferüberlesen) über manipulierte EBCDIC ASN.1 Daten zu verursachen.
Weitere Updates
Greenplum Datenbank 4.3.8.1 ist eine Wartungsveröffentlichung, die keine neuen Features hinzufügt, aber einige bekannte Probleme löst und Verbesserungen bezüglich Performance und Stabilität, gpdbrestore Utility, gpcheckcat Utility, gpload Utility, externer Tabellens3 Protokoll und MADlib Erweiterung beinhaltet.
Die Alpha-Version von MariaDB 10.2.1 wurde im Juli veröffentlicht. MariaDB 10.2 ist eine Weiterentwicklung von MariaDB 10.1 mit neuen Features, die nirgendwo anders zu finden sind, und mit aus MySQL 5.6 und 5.7 reimplementierten Features. MariaDB 10.2.1 befindet sich in einem Alpha-Zustand.
Die PostgreSQL Global Development Group gab bekannt, dass PostgreSQL 9.6 Beta 3 zum Download verfügbar ist. Diese Veröffentlichung enthält Vorschauen aller Features, die in der endgültigen Veröffentlichung der Version 9.6 verfügbar sein werden, einschließlich Lösungen für viele in den vorherigen Betas gefundenen Probleme. Die endgültige Veröffentlichung von PostgreSQL wird Ende 2016 sein.
