Digest de Seguridad de Bases de Datos para Diciembre 2016
Por tradición, te presentamos los incidentes más grandes en el ámbito de la seguridad de la información que tuvieron lugar en diciembre.
Ha surgido nueva información sobre el notorio hackeo del servicio Yahoo!Mail, relacionado con el segundo motor de búsqueda más popular del mundo. Ahora estamos hablando de 1 mil millones de cuentas de usuarios robadas. Un hacker (supuestamente un operante estatal relacionado con la brecha de 2014) ha obtenido acceso al código propietario de Yahoo para falsificar cookies.
Se ha reportado un hackeo contra un banco no identificado de Rusia. Hasta ahora no hay mucha información abierta sobre el incidente, solo sabemos que los intrusos robaron aproximadamente $1.4 millones hackeando el sistema bancario central.
El sitio de compartir videos Dailymotion ha sufrido una brecha de datos. Se comprometieron 82,5 millones de cuentas de usuarios, incluidos IDs de usuario, correos electrónicos y contraseñas hasheadas. Las contraseñas están protegidas con el algoritmo Bcrypt, que los atacantes determinados pueden superar.
La firma de fitness PayAsUGym ha sido hackeada y comprometido los datos personales de 300,000 clientes. La firma afirma que las contraseñas estaban encriptadas, pero usaron el algoritmo MD5 desacreditado con hashes sin sal. Otro ejemplo de actitud irresponsable hacia los temas de seguridad.
El famoso hacker/pentester Kaputskiy ha vulnerado el sitio web de la Asamblea Nacional de Ecuador y ha filtrado algunos de los datos. A principios de este mes, Kaputskiy y su amigo Kasimierz L hackearon el sitio web oficial del Ministerio de Industria de Argentina. Ambos ataques se realizaron explotando la vulnerabilidad de inyección SQL.
Un importante ciberataque se ha realizado contra el gigante del acero alemán ThyssenKrupp, dirigido a robar conocimientos tecnológicos y de investigación. La detección temprana del ataque ayudó a prevenir consecuencias más graves. La investigación está en proceso.
Seguridad de Base de Datos
A continuación, se encuentran las vulnerabilidades encontradas en diciembre.
En versiones de Django antes de 1.8.16, 1.9.11, y 1.10.3 se utiliza una contraseña codificada de un solo uso para un usuario temporal de base de datos creado al ejecutar pruebas de base de datos Oracle. La explotación facilita a un atacante remoto obtener acceso al servidor de base de datos especificando una contraseña en el diccionario de configuraciones de pruebas.
Gravedad CVSS: 9.8 Crítica
Se mencionó en el digest de octubre, y ahora tenemos más información al respecto.
Cuando se usa el registro basado en archivos, permite a los usuarios locales que tienen acceso a la cuenta mysql obtener privilegios de root con la ayuda de un ataque de enlace simbólico en los registros de errores.
Gravedad CVSS: 7.0 Alta
También se mencionó en los digests anteriores.
Permite a usuarios locales con pocos permisos obtener privilegios aprovechando el uso de la función my_copystat mediante el comando REPAIR TABLE dirigido a la tabla MyISAM.
Gravedad CVSS: 7.0 Alta
Ofrece la oportunidad a un atacante con un nombre de usuario o de tabla especialmente diseñado para inyectar declaraciones SQL en la funcionalidad de seguimiento que se ejecutarían con los privilegios del usuario de control. La explotación da acceso de lectura y escritura a las tablas de la base de datos de almacenamiento de configuraciones, si el usuario de control tiene los privilegios necesarios, un atacante puede leer algunas tablas de la base de datos MySQL.
Gravedad CVSS: 7.5 Alta
Problema de XSS en phpMyAdmin. El contenido de la columna diseñada de la búsqueda de Zoom puede usarse para desencadenar un ataque XSS. Algunos campos en el editor GIS no están correctamente escapados, por lo que también pueden ser usados en un ataque XSS.
Gravedad CVSS: 6.1 Media
MariaDBCVE-2016-7740
Facilita a los usuarios locales descubrir claves AES explotando diferencias de tiempo del banco de caché.
Gravedad CVSS: 5.5 Media
Versiones afectadas: Pivotal Greenplum antes de 4.3.10.0
Se pueden inyectar comandos arbitrarios en el sistema explotando la vulnerabilidad en el proceso de creación de tablas externas usando GPHDFS. La explotación requiere acceso superusuario ‘gpadmin’ al sistema o permisos de protocolo GPHDFS.
Gravedad CVSS: 7.2 Alta
MySQL 5.6.35
La nueva versión contiene correcciones de errores conocidos, mejoras de rendimiento y mejoras de seguridad.
Los cambios de seguridad incluyen:
- El comando chown ahora solo puede usarse cuando el directorio de destino es /var/log. Si falta el directorio para el socket Unix, se produce un error. El uso inseguro de los comandos rm o chown en la sección mysql_safe de un archivo de opción cng podría llevar a una escalada de privilegios.
- Ahora, la opción –ledir no es aceptada en los archivos de opción, solo en la línea de comandos.
- Los scripts de inicialización en la nueva versión crean el archivo de registro de errores siempre que el directorio base sea /var/lib o /var/log.
- Se eliminan archivos sistema no utilizados para SLES.
- La Encryptación Empresarial de MySQL Enterprise Edition ahora permite a los administradores del servidor imponer límites en la longitud máxima de la clave mediante la configuración de variables de entorno. Estas pueden usarse para evitar que los clientes utilicen recursos de CPU excesivos al pasar longitudes de clave muy largas a las operaciones de generación de claves.
- El Plugin de Control de Conexión. Después de un cierto número de intentos consecutivos fallidos para acceder a las cuentas de usuario de MySQL, se incrementa el retraso en la respuesta del servidor. El nuevo plugin está diseñado para ralentizar los ataques de fuerza bruta.
Greenplum Database 4.3.11.0
Greenplum Database 4.3.11.0 incluye las siguientes mejoras:
- Mejora en la Ejecución de Consultas de PQO
- Cancelación Mejorada de Consultas
- Mejora en la Ejecución de Consultas de Agregados Hash
- Mejora en la Gestión de Memoria de Greenplum Database
- Mejora en la Gestión de Filas Eliminadas en Tablas Persistentes
- Entorno PL/Java Mejorado para el Desarrollo
- gptransfer Transfiere Datos de Tablas Particionadas a No Particionadas
Teradata Database 16.00
Teradata Database 16.00 tiene muchas características nuevas y mejoras siguiendo las categorías estratégicas de Ejecución Adaptativa, Big Data & Habilitación UDA, Rendimiento Extremo, Alta Disponibilidad, Compatibilidad con la Industria, Calidad y Soporte, Simplicidad y Facilidad de Uso. Puedes encontrar notas detalladas de la versión aquí.
En cuanto a los temas de seguridad, la nueva versión contiene las siguientes mejoras:
Autorización LDAP Ligera. Permite a los usuarios utilizar el servicio de directorio existente para autorizar a los usuarios de la base de datos Teradata, no es necesario modificar su directorio para incluir esquemas, estructuras y entradas específicas de Teradata. Funciona con servidores de directorio compatibles con LDAPv3 (LDAP y KRB5). Ha mejorado el rendimiento de inicio de sesión en comparación con los mecanismos de autorización legacy.
La Herramienta tdgssauth se usa para probar los mecanismos de seguridad TDGSS en los nodos de la base de datos Teradata y los servidores de Unity Director. Prueba fallos de políticas de manera offline, correcta autenticación y autorización. Aunque tdgssauth no puede probar los mecanismos Proxy, es una herramienta robusta para hacer cumplir la política de seguridad permitiendo la depuración en vivo sin causar que la base de datos deje de ejecutar.
Directorio de Instalación Seleccionable por el Usuario (USD). Se usa para establecer conexiones seguras entre un cliente y un servidor con la ayuda de la interfaz de Servicio de Seguridad Genérico de Teradata (GSS). Ahora la carpeta o unidad raíz para la instalación puede ser especificada por el usuario.
Digest de Seguridad de Bases de Datos – Noviembre Digest de Seguridad de Bases de Datos – Octubre Digest de Seguridad de Bases de Datos – Septiembre