DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de la Sécurité des Bases de Données pour Août 2017

Incidents de Sécurité des Bases de Données

Le détaillant de matériel et de logiciels d’occasion CeX a subi une violation de la sécurité compromettant les données personnelles de jusqu’à 2 millions de clients, y compris des noms, des adresses physiques et électroniques, des numéros de téléphone, et potentiellement les données chiffrées des cartes de crédit expirées jusqu’en 2009, date à laquelle CeX a cessé de stocker des données financières.

Un ensemble de données personnelles des électeurs a été exposé par un fournisseur de systèmes de gestion électorale et de machines de vote, Election Systems & Software. Par défaut, les seaux Amazon nécessitent une authentification, mais ils ont réussi d’une manière ou d’une autre à mal configurer un seau Amazon contenant une base de données de sauvegarde avec 1,8 million de dossiers (noms, adresses, date de naissance, numéro de permis de conduire, numéros de sécurité sociale et numéros d’identification de l’état).

Un autre exemple de manque d’organisation en cybersécurité est une agence littéraire Bell Lomax Moreton exposant des milliers de fichiers sensibles, y compris les données des clients, les paiements de royalties et même les livres non publiés. Les données ont été laissées exposées en ligne sur le disque de sauvegarde mal configuré qui ne nécessitait aucun nom d’utilisateur ni mot de passe pour consulter les données sensibles de la société.

Une entreprise appelée Power Quality Engineering a publiquement exposé des données sensibles, y compris des points faibles potentiels des systèmes électriques des clients ainsi que les configurations et les emplacements de certaines zones de transmission de renseignements top secrètes. La fuite s’est produite à cause du port ouvert utilisé par un utilitaire de synchronisation à distance rsync.

Une campagne massive de logiciels malveillants a entraîné la violation de plus de 711 millions de dossiers d’emails comprenant des mots de passe. Le dump a été trouvé sur un serveur accessible publiquement et non sécurisé hébergé aux Pays-Bas. Les dossiers volés semblent provenir de violations de données plus anciennes.

Un pirate inconnu prétend avoir volé 11 millions de dossiers de la base de données contenant les données personnelles des clients du National Health Service en exploitant des failles logicielles non corrigées. Cependant, les autorités de cybersécurité du NHS ont signalé que seuls 35 501 lignes de données administratives ont été consultées. L’enquête est en cours.

La plateforme d’investissement et de trading en cryptomonnaies Enigma a été piratée juste avant une vente de jetons crypto lors de la prévente ICO. Les pirates ont créé une fausse adresse ETH et ont spammé le canal Slack et la newsletter par email d’Enigma pour les préventes de jetons. Les utilisateurs ont été trompés et ont envoyé environ 500 000 $ à la fausse adresse ETH. L’incident est assez similaire à l’attaque de CoinDash survenue le mois précédent.

WikiLeaks a publié un autre ensemble de documents de la CIA avec des détails sur le programme de l’agence “ExpressLane” qui a été développé, supposément, pour collecter des données biométriques du FBI, de la NSA, du Département de la Sécurité Intérieure et de certaines autres agences américaines.

Fancy Bear, un groupe de hackers supposément lié au Kremlin, a exposé les noms des joueurs de football britanniques qui ont échoué aux tests de dopage en 2015 et qui ont été autorisés à utiliser des médicaments interdits pendant la Coupe du Monde 2010.

Vulnérabilités de la Sécurité des Bases de Données et Mises à Jour des SGBDR

PostgreSQL

CVE-2017-7548
Score de Base CVSS v3 : 7.5
Description : Une faille d’autorisation dans les versions de PostgreSQL antérieures à 9.4.13, 9.5.8 et 9.6.4 qui permet à un attaquant sans privilèges sur les grands objets de réécrire le contenu de l’objet, causant un déni de service. Elle peut être exploitée par le réseau et elle nécessite une authentification.

CVE-2017-7547
Score de Base CVSS v3 : 8.8
Versions Concernées : Versions de PostgreSQL antérieures à 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4.
Description : Une faille d’autorisation qui permet à un attaquant de récupérer les mots de passe des mappages d’utilisateurs définis par les propriétaires de serveurs étrangers. Elle est exploitable à distance avec une authentification.

CVE-2017-7546
Score de Sévérité CVSS : 9.8
Versions Concernées : Versions de PostgreSQL antérieures à 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4.
Description : Une faille d’authentification incorrecte qui permet à un attaquant distant d’accéder à des comptes de bases de données sans mots de passe attribués. La vulnérabilité est exploitable à distance sans authentification.

MS SQL Server

CVE-2017-8516
Score de Sévérité CVSS : 7.5
Versions Concernées : Microsoft SQL Server 2012, Microsoft SQL Server 2014, Microsoft SQL Server 2016
Description : Microsoft SQL Server Analysis Services permet une vulnérabilité de divulgation d’informations lorsqu’il applique incorrectement les permissions. Exploitable à distance sans authentification.

Microsoft Azure, SAP HANA

CVE-2017-9655

Score de Sévérité CVSS : 5.4

Versions Concernées : Microsoft Azure avant 2016 R2 SP1, SAP HANA avant 2017, Business Analytics avant 2016 R2.

Description : Une faille de script intersite (XSS) dans OSIsoft PI Integrator. Une exploitation réussie permet à un attaquant de télécharger un script malveillant qui redirige les utilisateurs vers un site malveillant. La vulnérabilité est exploitable à distance, nécessite une authentification.

Mises à Jour des SGBDR

Greenplum Database 4.3.16.1 Release. Une nouvelle version de Pivotal Greenplum Database supporte le protocole s3 pour les proxys, et elle contient désormais des modules open source en science des données Python et des bibliothèques R qui peuvent être installés en option.
Le répartiteur de traitement des requêtes de la base de données Greenplum a été amélioré, il sélectionne désormais une instance de segment aléatoire comme bande unique de lecteur pour la consolidation et la distribution des données. Cela aide à distribuer la charge et ainsi à augmenter les performances.

PostgreSQL 9.6.5 Release.

Percona-Server-5.7.19-17 est basé sur MySQL 5.7.19 et inclut tous les correctifs de bugs contenus dans cette version.

Digest de la Sécurité des Bases de Données – Juillet
Digest de la Sécurité des Bases de Données – Juin
Digest de la Sécurité des Bases de Données – Mai

Suivant

Digest de la Sécurité des Bases de Données – Septembre 2017

Digest de la Sécurité des Bases de Données – Septembre 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]