DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Resumen de Seguridad en Bases de Datos – Octubre 2016

El último mes ha sido relativamente tranquilo considerando la serie de grandes violaciones de datos en los meses anteriores.

Un hacker llamado Guccifer 2.0, que ya es conocido por filtrar documentos legítimos de organizaciones políticas, ha expuesto archivos de la Fundación Clinton. Él escribió que era solo cuestión de tiempo, ya que el personal de la Fundación Clinton no se preocupaba por la seguridad de la información.

Modern Business Systems sufrió una violación de 58 cuentas de usuario, que involucraba nombres de clientes, correos, direcciones de email y IP, y números de teléfono. La compañía desarrolladora de juegos Evony Gaming comprometió 33 millones de cuentas con nombres de usuario, contraseñas y direcciones de correo electrónico.

Nuevas fallos en MySQL

Se han encontrado dos graves vulnerabilidades de escalado de privilegios en MySQL y sus derivados MariaDB, PerconaDB. Los desarrolladores ya han lanzado actualizaciones para solucionar las fallas. CVE-2016-6663 y CVE-2016-6664 (rastreados por Oracle como CVE-2016-5616 y CVE-2016-5617 respectivamente).

CVE-2016-6663 facilita la explotación de CVE-2016-6662. Es una condición de carrera que permite a usuarios con pocos privilegios escalar privilegios y ejecutar código arbitrario como un usuario del sistema de bases de datos. Puede ser explotado por atacantes que logran encontrar una vulnerabilidad en un sitio web y obtener acceso al sistema objetivo como un usuario con pocos privilegios. También puede ser usado en un entorno de alojamiento compartido donde cada usuario solo puede acceder a una cierta base de datos.

Según el experto que detectó la falla, CVE-2016-6663 puede usarse junto con CVE-2016-6662 o CVE-2016-6664 para obtener privilegios de root y comprometer todo el sistema objetivo. El exploit está disponible gratuitamente en el dominio público, incluso hay un video mostrando cómo se debe hacer. Con esto en mente, los usuarios de las plataformas afectadas deben instalar parches lo más pronto posible.

Las vulnerabilidades afectan a las versiones de Oracle MySQL 5.5.51, 5.6.32, 5.7.14 y anteriores. La actualización crítica de octubre soluciona ambos problemas. Percona anunció que ha actualizado Percona Server para tratar las vulnerabilidades anteriores. MariaDB ha corregido CVE-2016-6663 y ha dejado CVE-2016-6664 hasta la próxima versión de mantenimiento, argumentando que no es explotable por sí mismo.

Arreglos de Oracle

Oracle anunció el lanzamiento de Actualización de Parche Crítico el 18 de octubre, eliminando 253 vulnerabilidades en varias plataformas. En cuanto a Oracle Database Server, tiene 12 correcciones de seguridad. Una de las vulnerabilidades puede ser explotada remotamente sin requerir credenciales de usuario.

CVE#ComponentePaquete y/o Privilegios RequeridosProtocolo¿Explotación Remota Sin Autenticación?Puntuación BaseVector de AtaquePrivilegios requeridos
CVE-2016-5555OJVMCrear Sesión, Crear ProcedimientoMúltipleNo9.1RedAlto
CVE-2016-5572Kernel PDBCrear SesiónOracle NetNo6.4LocalAlto
CVE-2016-5497RDBMS SecurityCrear SesiónOracle NetNo6.4LocalAlto
CVE-2010-5312Application ExpressNingunoHTTP6.1RedNinguno
CVE-2016-5516Kernel PDBEjecutar en DBMS_PDB_EXEC_SQLOracle NetNo6.0LocalAlto
CVE-2016-5505RDBMS Programmable InterfaceCrear SesiónOracle NetNo5.5LocalBajo
CVE-2016-5498RDBMS SecurityCrear SesiónOracle NetNo3.3LocalBajo
CVE-2016-5499RDBMS SecurityCrear SesiónOracle NetNo3.3LocalBajo
CVE-2016-3562RDBMS Security and SQL*PlusCuenta con nivel de privilegios de DBAOracle NetNo2.4RedAlto

Oracle MySQL

31 correcciones de seguridad para Oracle MySQL en esta actualización. 2 de ellas pueden ser explotadas de forma remota sin autenticación.

CVE#ComponenteSub-componenteProtocolo¿Explotación Remota Sin Autenticación?Puntuación BaseVector de Ataque Privilegios requeridos 
CVE-2016-6304MySQL ServerServer: Seguridad: CifradoProtocolo MySQL7.5RedNinguno
CVE-2016-6662MySQL ServerServer: RegistroNingunoNo7.2LocalAlto
CVE-2016-5617MySQL ServerServer: Manejo de ErroresNingunoNo7.0LocalBajo
CVE-2016-5616MySQL ServerServer: MyISAMNingunoNo7.0LocalBajo
CVE-2016-5625MySQL ServerServer: EmpaquetadoNingunoNo7.0LocalBajo
CVE-2016-5609MySQL ServerServer: DMLProtocolo MySQLNo6.5RedBajo
CVE-2016-5612MySQL ServerServer: DMLProtocolo MySQLNo6.5RedBajo
CVE-2016-5624MySQL ServerServer: DMLProtocolo MySQLNo6.5RedBajo
CVE-2016-5626MySQL ServerServer: GISProtocolo MySQLNo6.5RedBajo
CVE-2016-3492MySQL ServerServer: OptimizadorProtocolo MySQLNo6.5RedBajo
CVE-2016-5598MySQL ConnectorConnector/PythonProtocolo MySQL5.6RedNinguno
CVE-2016-7440MySQL ServerServer: Seguridad: CifradoNingunoNo5.1LocalNinguno
CVE-2016-5628MySQL ServerServer: DMLProtocolo MySQLNo4.9RedAlto
CVE-2016-5629MySQL ServerServer: FederatedProtocolo MySQLNo4.9RedAlto
CVE-2016-3495MySQL ServerServer: InnoDBProtocolo MySQLNo4.9RedAlto
CVE-2016-5630MySQL ServerServer: InnoDBProtocolo MySQLNo4.9RedAlto
CVE-2016-5507MySQL ServerServer: InnoDBProtocolo MySQLNo4.9RedAlto
CVE-2016-5631MySQL ServerServer: MemcachedProtocolo MySQLNo4.9RedAlto
CVE-2016-5632MySQL ServerServer: OptimizadorProtocolo MySQLNo4.9RedAlto
CVE-2016-5633MySQL ServerServer: Performance SchemaProtocolo MySQLNo4.9RedAlto
CVE-2016-5634MySQL ServerServer: RBRProtocolo MySQLNo4.9RedAlto
CVE-2016-5635MySQL ServerServer: Seguridad: AuditoríaProtocolo MySQLNo4.9RedAlto
CVE-2016-8289MySQL ServerServer: InnoDBNingunoNo4.7LocalAlto
CVE-2016-8287MySQL ServerServer: ReplicaciónProtocolo MySQLNo4.5RedAlto
CVE-2016-8290MySQL ServerServer: Performance SchemaProtocolo MySQLNo4.4RedAlto
CVE-2016-5584MySQL ServerServer: Seguridad: CifradoProtocolo MySQLNo4.4RedAlto
CVE-2016-8283MySQL ServerServer: TeiposProtocolo MySQLNo4.3RedBajo
CVE-2016-8288MySQL ServerServer: InnoDB PluginProtocolo MySQLNo3.1RedBajo
CVE-2016-8286MySQL ServerServer: Securidad: PrivilegiosProtocolo MySQLNo3.1RedBajo
CVE-2016-8284MySQL ServerServer: ReplicaciónNingunoNo1.8LocalAlto

Base de Datos Greenplum 4.3.10.0

La actualización introduce tablas escribibles S3, resuelve problemas conocidos e incluye algunas mejoras y cambios.

Especificar una tabla externa con símbolos de protocolo gphdfs \\, ‘, <,> representaba una posible vulnerabilidad de seguridad. El problema ha sido resuelto.

MariaDB 10.0.28

La nueva versión incluye actualizaciones para XtraDB, TokuDB, Innodb, Performance Schema y arreglos para una serie de vulnerabilidades de seguridad:

CVE-2016-5616  (CVE-2016-6663 por Oracle)
Permite a los usuarios locales afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con Server: MyISAM.
Puntuación CVSS: 7.0

CVE-2016-5624
Permite a los usuarios autenticados remotos afectar la disponibilidad a través de vectores relacionados con DML.
Puntuación CVSS: 6.5

CVE-2016-5626
Permite a los usuarios autenticados remotos afectar la disponibilidad a través de vectores relacionados con GIS.

Puntuación CVSS: 6.5

CVE-2016-3492
Permite a los usuarios autenticados remotos afectar la disponibilidad a través de vectores relacionados con Server: Optimizer.
Puntuación CVSS: 6.5

CVE-2016-5629
Permite a los administradores remotos afectar la disponibilidad a través de vectores relacionados con Server: Federated.
Puntuación CVSS: 4.9

CVE-2016-7440 – vulnerabilidad no especificada.

CVE-2016-5584
Permite a los administradores remotos afectar la confidencialidad a través de vectores relacionados con Server: Security: Encryption.
Puntuación CVSS: 4.4

MySQL 5.6.34

El nuevo lanzamiento contiene mejoras de seguridad respecto a la variable de sistema secure_file_priv, que se utiliza para limitar el efecto de las operaciones de importación y exportación de datos. Ahora se puede establecer en NULL para desactivar todas las operaciones de importación/exportación. El servidor ahora verifica el valor de secure_file_priv al iniciar y registra una advertencia en el registro de errores si el valor no es seguro.
Anteriormente, la variable de sistema secure_file_priv estaba vacía por defecto. Ahora, el valor por defecto se establece de acuerdo con el valor de la opción INSTALL_LAYOUT de CMake.
Puedes encontrar información más detallada en las notas de la versión.

Percona Server 5.7.15-9

Basado en MySQL 5.7.15, incluyendo todas las correcciones de errores en él, Percona Server 5.7.14-8 es la actual versión GA (Generalmente Disponible) en la serie Percona Server 5.7.
La actualización contiene una serie de correcciones de errores, incluyendo la corrección de fugas de hilos esclavos que sucedían en caso de fallo en la creación de hilos. También se eliminan fugas de memoria en el Plugin de Registro de Auditoría.

Resumen de Seguridad en Bases de Datos – Septiembre
Resumen de Seguridad en Bases de Datos – Agosto
Resumen de Seguridad en Bases de Datos – Junio-Julio

Siguiente

Digest de Seguridad de Base de Datos – Diciembre 2016

Digest de Seguridad de Base de Datos – Diciembre 2016

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]