Datenbank-Sicherheits-Digest – Oktober 2017
Wir präsentieren Ihnen die kurze Übersicht über die Datenbanksicherheits-Nachrichten des Oktobers.
Bad Rabbit: Ein weiterer Ransomware-Angriff
Eine neue Welle von Ransomware-Angriffen traf Russland und die Ukraine, Angriffe wurden auch aus der Türkei und Deutschland gemeldet. Laut dem Bericht des Kaspersky Lab verwendet Bad Rabbit Methoden, die ähnlich wie die des ExPetr Angriffs sind.
Die Ransomware verwendet keine Exploits, die Opfer müssen die install_flash_player.exe Datei manuell starten, die von einer infizierten legitimen Seite heruntergeladen wurde. Nach dem Start lädt sie eine Datei-verschlüsselnde Malware herunter, die NTLM-Anmeldedaten für Windows-Maschinen erzwingen kann, die eine pseudozufällige IP-Adresse haben. Zudem verschlüsselt die Malware die Daten des Opfers mithilfe des öffentlichen RSA-2048-Schlüssels des Kriminellen.
SQL Injection Schwachstelle in SmartVista
Rapid7 veröffentlichte Details zu einer SQL Injection Schwachstelle in SmartVista, das eine E-Commerce-Plattform ist, die in 66 Ländern von BPC Banking Technologies entwickelt und verkauft wird. Die Schwachstelle betraf nur SmartVista Front-End Version 2.2.10 und wurde in weiteren Versionen der Software behoben. Bei erfolgreicher Ausnutzung kann ein Angreifer sensible Daten abrufen, darunter Benutzernamen und Passwörter des Datenbank-Backends. Entdeckt wurden zeitbasierte und boolesche Schwachstellen. Die Ausnutzung erfordert autorisierten Zugriff auf das SmartVista-System.
Immer noch undichte, fehlkonfigurierte Amazon S3 Buckets
In früheren Digests haben wir bereits über Amazon S3 Buckets mit Standard-Einstellungen gesprochen, und auch in diesem Monat gibt es wieder ein Beispiel für eine verantwortungslose Haltung gegenüber dem sensiblen Datenspeicher. Accenture PLC, ein weltweit tätiges Management-Beratungsunternehmen, hat ihre internen privaten Schlüssel, geheime API-Daten und andere Informationen offen gelegt. Die Server wurden völlig ungesichert gelassen, Angreifer mussten lediglich die URL-Adresse kennen.
3 Milliarden Yahoo-Konten gehackt
Diesen Monat hat Yahoo (jetzt Teil von Oath) die Details der laufenden Untersuchung des größten Datenlecks in der Geschichte offen gelegt, das bereits 2013 stattfand. Laut der neuesten Meldung wurden etwa 3 Milliarden Konten kompromittiert. Die Ermittlungsbehörden geben an, dass die gestohlenen Dateien keine Zahlungskartendaten, Bankinformationen und Kennwörter im Klartext enthalten. Das Unternehmen setzt die Benachrichtigung weiter betroffener Nutzer fort.
Gefährliche Ausbreitung eines neuen DDoS-Bots
IBTimes berichtete über den IoT Reaper, einen kürzlich entdeckten Botnet, der ungepatchte Schwachstellen nutzt, um webbasierte Kameras und Router zu versklaven. Der Code stammt von dem Mirai-Botnet, und den Forschern zufolge könnte er das Internet herunterfahren.
Schwachstelle in MySQL-Derivaten
CVE-2017-15945Installations-Skripte von MySQL-Derivaten (dev-db/mysql, dev-db/mariadb, dev-db/percona-server, dev-db/mysql-cluster und dev-db/mariadb-galera) enthalten eine Schwachstelle, die den Zugriff auf das mysql-Konto zur Erstellung eines Links ermöglicht.
Die Installationsskripte in den Gentoo-Paketen vor dem 29.09.2017 haben chown-Aufrufe für vom Benutzer beschreibbare Verzeichnisbäume, was es lokalen Benutzern ermöglicht, durch die Nutzung des Zugriffs auf das mysql-Konto einen Link zu erstellen.
Kritischer Patch von Oracle
Oracle hat ein neues kritisches Patch-Update veröffentlicht, das 252 Sicherheitslücken behebt.
Es enthält 25 Sicherheitskorrekturen für Oracle MySQL, von denen 6 ohne Authentifizierung aus der Ferne ausnutzbar sind, und 6 Korrekturen für die Oracle Datenbank, von denen 2 ohne Authentifizierung aus der Ferne ausnutzbar sind.
Risikomatrix von Oracle MySQLCVE# | Komponente | Remote Exploit ohne Authentifizierung | CVSS Schweregrad Score | Angriffsvektor | Angriffskomplexität |
CVE-2017-10424 | Überwachung: Web | Ja | 8.8 | Netzwerk | Niedrig |
CVE-2017-5664 | Überwachung: Allgemein (Apache Tomcat) | Ja | 7.5 | Netzwerk | Niedrig |
CVE-2017-10155 | Server: Ansteckbare Authentifizierung | Ja | 7.5 | Netzwerk | Niedrig |
CVE-2017-3731 | Server: Sicherheit: Verschlüsselung (OpenSSL) | Ja | 7.5 | Netzwerk | Niedrig |
CVE-2017-10379 | Client-Programme | Nein | 6.5 | Netzwerk | Niedrig |
CVE-2017-10384 | Server: DDL | Nein | 6.5 | Netzwerk | Niedrig |
CVE-2017-10276 | Server: FTS | Nein | 6.5 | Netzwerk | Niedrig |
CVE-2017-10167 | Server: Optimierer | Nein | 6.5 | Netzwerk | Niedrig |
CVE-2017-10378 | Server: Optimierer | Nein | 6.5 | Netzwerk | Niedrig |
CVE-2017-10277 | Connector/Net | Ja | 5.4 | Netzwerk | Niedrig |
CVE-2017-10203 | Connector/Net | Ja | 5.3 | Netzwerk | Niedrig |
CVE-2017-10283 | Server: Performance Schema | Nein | 5.3 | Netzwerk | Hoch |
CVE-2017-10313 | Gruppenreplikation GCS | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10296 | Server: DML | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10311 | Server: FTS | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10320 | Server: InnoDB | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10314 | Server: Memcached | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10227 | Server: Optimierer | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10279 | Server: Optimierer | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10294 | Server: Optimierer | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10165 | Server: Replikation | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10284 | Server: Gespeicherte Prozedur | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-10286 | Server: InnoDB | Nein | 4.4 | Netzwerk | Hoch |
CVE-2017-10268 | Server: Replikation | Nein | 4.1 | Lokal | Hoch |
CVE-2017-10365 | Server: InnoDB | Nein | 3.8 | Netzwerk | Niedrig |
Risikomatrix von Oracle Datenbank
CVE# | Komponente | Paket und/oder Berechtigung erforderlich | Protokoll | Remote Exploit ohne Authentifizierung? | Basis-Score | Angriffsvektor | Angriffskomplexität |
CVE-2017-10321 | Core RDBMS | Sitzung erstellen | Oracle Net | Nein | 8.8 | Lokal | Niedrig |
CVE-2016-6814 | Spatial (Apache Groovy) | Keine | Mehrere | Ja | 8.3 | Netzwerk | Hoch |
CVE-2017-10190 | Java VM | Sitzung erstellen, Prozedur erstellen | Mehrere | Nein | 8.2 | Lokal | Niedrig |
CVE-2016-8735 | WLM (Apache Tomcat) | Keine | Mehrere | Ja | 8.1 | Netzwerk | Hoch |
CVE-2017-10261 | XML Datenbank | Sitzung erstellen | Oracle Net | Nein | 6.5 | Lokal | Niedrig |
CVE-2017-10292 | RDBMS Sicherheit | Benutzer erstellen | Oracle Net | Nein | 2.3 | Lokal | Niedrig |
MySQL 5.7.20 Version
Diese Version enthält mehrere Fehlerkorrekturen in den InnoDB und Replikationsmotoren, geringfügige Änderungen in der Funktionalität und die folgenden Sicherheitsverbesserungen:
- Zertifikate, die automatisch von mysqld und mysql_ssl_rsa_setup erstellt wurden, verwenden jetzt X509 v3 anstatt von v1.
- Das keyring_okv Plugin unterstützt jetzt die Passwortsicherung der Schlüsseldatei, die für sichere Verbindungen verwendet wird.
Weitere Details finden Sie in den Versionshinweisen.
Pivotal Greenplum 5.1.0
Diese Version beinhaltet Produkterweiterungen, führt neue Funktionen ein und behebt einige bekannte Probleme. Weitere Informationen finden Sie in den Versionshinweisen.
Datenbank Sicherheits-Digest – September Datenbank Sicherheits-Digest – August Datenbank Sicherheits-Digest – Juli