Digest de Sécurité des Bases de Données pour Juin-Juillet 2016

Selon le dernier rapport de sécurité d’IBM publié en juin, le coût moyen d’une violation de données a atteint 4 millions de dollars, représentant une augmentation de 29 % depuis 2013. Chaque dossier perdu ou volé coûte aux entreprises environ 158 $. Il y a également une augmentation inquiétante de 64 % des incidents de sécurité signalés. Les résultats du rapport impliquent que les cyberattaques s’améliorent et que le piratage devient plus coûteux, ce qui rappelle l’importance de se tenir à jour en matière de sécurité de l’information. Voici le résumé des mises à jour du SGBD récemment publiées et des informations sur les vulnérabilités les plus importantes corrigées.

Correction Intensive par Oracle

Oracle continue d’étendre son influence en concluant un accord de 9,3 milliards de dollars pour acquérir NetSuite, une entreprise qui vend un ensemble de services logiciels utilisés pour gérer les opérations et les relations clients de plus de 30 000 organisations. Juste avant l’annonce de ce gros marché, Oracle a publié la prochaine mise à jour critique de correctifs, surpassant son précédent record indésirable du nombre de correctifs de sécurité en résolvant 27,6 problèmes dans divers produits, y compris Oracle Database Server et Oracle MySQL.

Pour Oracle MySQL, la mise à jour critique des correctifs contient 22 nouveaux correctifs de sécurité. Trois de ces vulnérabilités (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) peuvent être exploitées à distance sans authentification. Voici la matrice des risques d’Oracle MySQL :

 

CVE#	Composant	Sous-composant	Protocole	Exploitation à distance sans authentification?	Score de base	Vecteur d’attaque	Complexité de l’attaque	Privilèges requis	Interaction utilisateur
					CVE-2016-3477	MySQL Server	Server: Parser	Aucun	Non	8.1	Local	Élevée	Aucun	Aucun
CVE-2016-3440	MySQL Server	Server: Optimizer	Protocole MySQL	Non	7.7	Réseau	Faible	Faible	Aucun
CVE-2016-2105	MySQL Server	Server: Security: Encryption	Protocole MySQL	Oui	7.5	Réseau	Faible	Aucun	Aucun
CVE-2016-3471	MySQL Server	Server: Option	Aucun	Non	7.5	Local	Élevée	Élevée	Aucun
CVE-2016-3486	MySQL Server	Server: FTS	Protocole MySQL	Non	6.5	Réseau	Faible	Faible	Aucun
CVE-2016-3501	MySQL Server	Server: Optimizer	Protocole MySQL	Non	6.5	Réseau	Faible	Faible	Aucun
CVE-2016-3518	MySQL Server	Server: Optimizer	Protocole MySQL	Non	6.5	Réseau	Faible	Faible	Aucun
CVE-2016-3521	MySQL Server	Server: Types	Protocole MySQL	Non	6.5	Réseau	Faible	Faible	Aucun
CVE-2016-3588	MySQL Server	Server: InnoDB	Protocole MySQL	Non	5.9	Réseau	Élevée	Faible	Aucun
CVE-2016-3615	MySQL Server	Server: DML	Protocole MySQL	Non	5.3	Réseau	Élevée	Faible	Aucun
CVE-2016-3614	MySQL Server	Server: Security: Encryption	Protocole MySQL	Non	5.3	Réseau	Élevée	Faible	Aucun
CVE-2016-5436	MySQL Server	Server: InnoDB	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-3459	MySQL Server	Server: InnoDB	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-5437	MySQL Server	Server: Log	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-3424	MySQL Server	Server: Optimizer	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-5439	MySQL Server	Server: Privileges	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-5440	MySQL Server	Server: RBR	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-5441	MySQL Server	Server: Replication	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-5442	MySQL Server	Server: Security: Encryption	Protocole MySQL	Non	4.9	Réseau	Faible	Élevée	Aucun
CVE-2016-5443	MySQL Server	Server: Connection	Aucun	Non	4.7	Local	Élevée	Aucun	Requis
CVE-2016-5444	MySQL Server	Server: Connection	Protocole MySQL	Oui	3.7	Réseau	Élevée	Aucun	Aucun
CVE-2016-3452	MySQL Server	Server: Security: Encryption	Protocole MySQL	Oui	3.7	Réseau	Élevée	Aucun	Aucun

Pour Oracle Database Server, la mise à jour critique des correctifs contient 9 nouveaux correctifs de sécurité. Cinq de ces vulnérabilités (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) peuvent être exploitées à distance sans authentification.

Matrice de Risques du Serveur de Base de Données Oracle

CVE#	Composant	Package et/ou Privilège Requis	Protocole	Exploitation à Distance Sans Auth.?	Score de Base	Vecteur d’Attaque	Complexité de l’Attaque	Privilèges Requis	Interaction Utilisateur
					CVE-2016-3609	OJVM	Créer une Session	Multiple	Non	9.0	Réseau	Faible	Faible	Requis
CVE-2016-3506	JDBC	Aucun	Oracle Net	Oui	8.1	Réseau	Élevée	Aucun	Aucun
CVE-2016-3479	Portable Clusterware	Aucun	Oracle Net	Oui	7.5	Réseau	Faible	Aucun	Aucun
CVE-2016-3489	Data Pump Import	Index sur SYS.INCVID	Oracle Net	Non	6.7 Suivant Digest de Sécurité des Bases de Données – Août 2016 En savoir plus Besoin de l'aide de notre équipe de support ? Nos experts seront ravis de répondre à vos questions. Nom complet Téléphone E-mail Organisation Titre du poste United StatesUnited KingdomFranceGermanyAustraliaAfghanistanIslandsAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua and BarbudaArgentinaArmeniaArubaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBoliviaBosnia and HerzegovinaBotswanaBouvetBrazilBritish Indian Ocean TerritoryBrunei DarussalamBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral African RepublicChadChileChinaChristmas IslandCocos (Keeling) IslandsColombiaComorosCongo, Republic of theCongo, The Democratic Republic of theCook IslandsCosta RicaCote D'IvoireCroatiaCubaCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland Islands (Malvinas)Faroe IslandsFijiFinlandFrench GuianaFrench PolynesiaFrench Southern TerritoriesGabonGambiaGeorgiaGhanaGibraltarGreeceGreenlandGrenadaGuadeloupeGuamGuatemalaGuernseyGuineaGuinea-BissauGuyanaHaitiHeard Island and Mcdonald IslandsHoly See (Vatican City State)HondurasHong KongHungaryIcelandIndiaIndonesiaIran, Islamic Republic OfIraqIrelandIsle of ManIsraelItalyJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKorea, Democratic People's Republic ofKorea, Republic ofKuwaitKyrgyzstanLao People's Democratic RepublicLatviaLebanonLesothoLiberiaLibyan Arab JamahiriyaLiechtensteinLithuaniaLuxembourgMacaoMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Federated States ofMoldova, Republic ofMonacoMongoliaMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNetherlands AntillesNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorth Macedonia, Republic ofNorthern Mariana IslandsNorwayOmanPakistanPalauPalestinian Territory, OccupiedPanamaPapua New GuineaParaguayPeruPhilippinesPitcairnPolandPortugalPuerto RicoQatarReunionRomaniaRussian FederationRwandaSaint HelenaSaint Kitts and NevisSaint LuciaSaint Pierre and MiquelonSaint Vincent and the GrenadinesSamoaSan MarinoSao Tome and PrincipeSaudi ArabiaSenegalSerbia and MontenegroSeychellesSierra LeoneSingaporeSlovakiaSloveniaSolomon IslandsSomaliaSouth AfricaSouth Georgia and the South Sandwich IslandsSpainSri LankaSudanSurinameSvalbard and Jan MayenSwazilandSwedenSwitzerlandSyrian Arab RepublicTaiwan, Province of ChinaTajikistanTanzania, United Republic ofThailandTimor-LesteTogoTokelauTongaTrinidad and TobagoTunisiaTurkeyTurkmenistanTurks and Caicos IslandsTuvaluUgandaUkraineUnited Arab EmiratesUnited States Minor Outlying IslandsUruguayUzbekistanVanuatuVenezuelaViet NamVirgin Islands, BritishVirgin Islands, U.S.Wallis and FutunaWestern SaharaYemenZambiaZimbabwe Informations généralesVentesService clientèle et support techniqueDemandes de partenariat et d'alliance Écrivez votre message ici Envoyer le message Informations générales : [email protected] Ventes : [email protected] Service clientèle et support technique : support.datasunrise.com Demandes de partenariat et d'alliance : [email protected]