DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Digest de Seguridad de Base de Datos – Diciembre 2016

Por tradición, te presentamos los incidentes más masivos en el ámbito de la seguridad de la información que tuvieron lugar en diciembre.

Apareció nueva información sobre el infame ataque al servicio de correo Yahoo!Mail, relacionado con el segundo motor de búsqueda más popular del mundo. Ahora estamos hablando de 1 billón de cuentas de usuario robadas. El hacker (presuntamente un operativo de estado nación vinculado a la brecha de 2014) ha obtenido acceso al código propietario de Yahoo para falsificar cookies.

Se ha informado sobre el ataque a un banco no identificado de Rusia. Hasta ahora no hay mucha información abierta sobre el incidente, solo sabemos que los intrusos robaron aproximadamente $1.4 millones al hackear el sistema bancario central.

El sitio web para compartir videos Dailymotion ha sufrido una brecha de datos. 82,5 millones de cuentas de usuario se han visto comprometidas, incluyendo IDs de usuarios, correos electrónicos y contraseñas hasheadas. Las contraseñas están protegidas con el algoritmo Bcrypt, que los atacantes determinados pueden superar.

La empresa de fitness PayAsUGym ha sido hackeada y los detalles personales de 300,000 clientes se han visto comprometidos. La empresa afirma que las contraseñas estaban encriptadas, pero la empresa utilizaba el desacreditado algoritmo MD5 con hashes no salteados. Otro ejemplo de actitud irresponsable hacia los asuntos de seguridad.

El famoso hacker/pentester Kaputskiy ha violado el sitio web de la Asamblea Nacional de Ecuador y ha filtrado algunos de los datos. A principios de este mes, Kaputskiy y su amigo Kasimierz L han hackeado el sitio oficial del Ministerio de Industria de Argentina. Ambos ataques se realizaron explotando la vulnerabilidad de inyección SQL.

Se ha realizado un importante ataque cibernético contra el gigante del acero alemán ThyssenKrupp orientado a robar conocimientos tecnológicos e investigación. La detección temprana del ataque ayudó a prevenir consecuencias más graves. La investigación está en curso.

Seguridad de Base de Datos

A continuación, se presentan las vulnerabilidades encontradas en diciembre.

Oracle

CVE-2016-9013

En versiones de Django anteriores a la 1.8.16, 1.9.11 y 1.10.3 se utiliza una contraseña predefinida para un usuario temporal de la base de datos creado al ejecutar las pruebas de la base de datos Oracle. La explotación facilita a un atacante remoto acceder al servidor de la base de datos especificando una contraseña en el diccionario de configuración de prueba de la base de datos.

Severidad CVSS: 9.8 Crítico

MySQL

CVE-2016-6664

Fue mencionado en el digesto de octubre y ahora tenemos más información al respecto.

Cuando se utiliza el registro basado en archivos, permite a los usuarios locales que tienen acceso a la cuenta mysql obtener privilegios root con la ayuda de un ataque de enlace simbólico en los registros de errores.

Severidad CVSS: 7.0 Alta

CVE-2016-6663

También ha sido mencionado en los digestos anteriores.

Permite a los usuarios locales con bajos permisos ganar privilegios aprovechando el uso de la función my_copystat por el comando REPAIR TABLE dirigido a la tabla MyISAM.

Severidad CVSS: 7.0 Alta

CVE-2016-9864

Ofrece la oportunidad a un atacante con nombre de usuario o nombre de tabla manipulado de inyectar sentencias SQL en la funcionalidad de seguimiento que se ejecutarían con los privilegios del usuario de control. La explotación proporciona acceso de lectura y escritura a las tablas de la base de datos de almacenamiento de configuración, si el usuario de control tiene los privilegios necesarios, un atacante puede leer algunas tablas de la base de datos MySQL.

Severidad CVSS: 7.5 Alta

CVE-2016-6607

Problema de XSS en phpMyAdmin. El contenido de columna manipulado de la búsqueda de Zoom se puede utilizar para desencadenar un ataque XSS. Algunos campos en el editor GIS no están correctamente escapados, por lo que también se pueden utilizar para un ataque XSS.

Severidad CVSS: 6.1 Media

MariaDB

CVE-2016-7740

Facilita a los usuarios locales descubrir claves AES explotando diferencias de temporización del banco de caché.

Severidad CVSS: 5.5 Media

Base de Datos Greenplum

CVE-2016-6656

Versiones afectadas: Pivotal Greenplum antes de 4.3.10.0

Comandos arbitrarios se pueden inyectar en el sistema explotando la vulnerabilidad en el proceso de creación de tablas externas utilizando GPHDFS. La explotación requiere acceso de superusuario ‘gpadmin’ al sistema o permisos del protocolo GPHDFS.

Severidad CVSS: 7.2 Alta

MySQL 5.6.35

La nueva versión contiene correcciones de errores conocidos, mejoras de rendimiento y seguridad.

Los cambios de seguridad incluyen:

  • El comando chown ahora solo se puede usar cuando el directorio de destino es /var/log. Si falta el directorio para el socket de Unix, se produce un error. El uso no seguro de los comandos rm o chown en la sección mysql_safe de un archivo de opción cng podría llevar a la escalada de privilegios.
  • Ahora, la opción –ledir no se acepta en archivos de opción, solo en la línea de comandos.
  • Los scripts de inicialización en la nueva versión crean el archivo de registro de errores, siempre que el directorio base sea /var/lib o /var/log.
  • Archivos de sistema no utilizados para SLES han sido eliminados.
  • La Cifrado Empresarial para la Versión Empresarial de MySQL ahora permite a los administradores de servidores imponer límites en la longitud máxima de la clave configurando variables de entorno. Esto puede usarse para evitar que los clientes utilicen recursos de CPU excesivos pasando longitudes de clave muy largas a las operaciones de generación de claves.
  • El Plugin de Control de Conexiones. Después de un cierto número de intentos fallidos consecutivos para acceder a las cuentas de usuario de MySQL, el retraso en la respuesta del servidor se incrementa. El nuevo complemento está diseñado para retrasar los ataques de fuerza bruta.

Base de Datos Greenplum 4.3.11.0

Greenplum Database 4.3.11.0 incluye las siguientes mejoras:

  • Mejora en la Ejecución de Consultas PQO
  • Cancelación de Consultas Mejorada
  • Mejora en la Ejecución de Consultas de Agregación Hash
  • Mejor Gestión de Memoria de Greenplum Database
  • Mejor Gestión de Filas Eliminadas en Tablas Persistentes
  • Entorno PL/Java Mejorado para el Desarrollo
  • gptransfer Transfiere Datos de Tablas Particionadas a Tablas No Particionadas

Base de Datos Teradata 16.00

Teradata Database 16.00 tiene muchas características nuevas y mejoras siguiendo categorías estratégicas de Ejecución Adaptativa, Habilitación de Big Data y UDA, Rendimiento Extremo, Alta Disponibilidad, Compatibilidad de la Industria, Calidad y Soporte, Sencillez y Facilidad de Uso. Puedes encontrar notas de la versión detalladas aquí.

Con respecto a los asuntos de seguridad, la nueva versión contiene las siguientes mejoras:

Autorización LDAP Ligera. Permite a los usuarios utilizar el servicio de directorio existente para autorizar usuarios de Teradata Database, no es necesario modificar su directorio para incluir esquemas, estructuras y entradas específicas de Teradata. Funciona con servidores de directorio compatibles con LDAPv3 (LDAP y KRB5). Ha mejorado el rendimiento de inicio de sesión en comparación con los mecanismos de autorización heredados.

La Herramienta tdgssauth se usa para probar configuraciones del mecanismo de seguridad TDGSS en los nodos de Teradata Database y los servidores Unity Director. Prueba errores de política fuera de línea, autenticación y autorización correctas. Aunque tdgssauth no puede probar los mecanismos de Proxy, es una herramienta robusta para hacer cumplir la política de seguridad permitiendo depuración en vivo sin causar que la base de datos deje de ejecutarse.

Directorio de Instalación Seleccionable por el Usuario (USD). Se usa para establecer conexiones seguras entre un cliente y un servidor con la ayuda de la interfaz de Teradata Generic Security Service (GSS). Ahora, el usuario puede especificar la carpeta raíz o la unidad para la instalación.

Digest de Seguridad de Base de Datos – Noviembre
Digest de Seguridad de Base de Datos – Octubre
Digest de Seguridad de Base de Datos – Septiembre

Siguiente

Resumen de Seguridad de Bases de Datos – Enero 2017

Resumen de Seguridad de Bases de Datos – Enero 2017

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]