DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Revue de la Sécurité des Bases de Données pour Juin 2017

Selon une recherche menée par le Ponemon Institute, le coût moyen d’une violation de données en 2016 a diminué de 10% à 3,62 millions de dollars. Cependant, le volume moyen des violations a augmenté de 24 000 enregistrements. Voici le résumé des actualités sur la sécurité des bases de données du mois précédent.

Violation chez OneLogin qui Peut Tourner au Cauchemar

Qu’est-ce qui peut être pire pour un service majeur de gestion de mots de passe que de divulguer des tables de bases de données contenant des informations sur les utilisateurs, les applications et divers types de clés ? Eh bien, selon le billet de OneLogin, il pourrait y avoir une chance que les hackers aient également déchiffré des données sensibles pendant sept heures dans le système. L’information selon laquelle les données sensibles ont été déchiffrées n’a pas été confirmée, alors espérons le meilleur.

Oups, un autre Ransomware

En attendant une autre série de vulnérabilités zero-day de Shadow Brokers, les hackers essaient de tirer le maximum d’avantages d’EternalBlue (vulnérabilité du protocole Microsoft Server Message Block) en l’utilisant pour distribuer le backdoor Nitol et le malware Gh0st RAT. De plus, des acteurs malveillants inconnus ont propagé un nouveau malware Petya en utilisant EternalBlue et EternalRomance. 80% des infections par Petya se sont produites en Ukraine. Contrairement à WannaCry, Petya ne fournit pas la clé pour décrypter les données une fois la rançon payée, rendant les données chiffrées complètement inutilisables. Il dispose aussi de fonctionnalités supplémentaires pour aider à la propagation dans le réseau, le rendant plus dangereux que son prédécesseur.

Microsoft a publié des correctifs pour les versions Windows supportées et non supportées en mars 2017 pour corriger la vulnérabilité EternalBlue. On dirait que de nombreux utilisateurs ont repoussé la mise à jour malgré toutes les mises en garde.

Les Hackers Participent Activement aux Élections

Les enquêteurs du piratage des élections américaines ont rapporté qu’il y a au moins un cas où la base de données des électeurs a été altérée. Les données personnelles de 90 000 électeurs stockées dans la base de données ont également été volées. Les autorités tentent maintenant de déterminer s’il s’agissait ou non d’un groupe de hackers lié au Kremlin.

Breach chez 8tracks

Le service populaire de radio Internet et de réseau social 8tracks a subi une violation de données compromettant les informations de 18 millions d’utilisateurs, y compris les e-mails et les mots de passe chiffrés en SHA-1. L’attaque a été menée via le compte GitHub d’un employé qui n’était pas sécurisé avec une authentification à deux facteurs.

43 To de données divulguées

Selon le rapport d’Appthority, plus de 1 000 applications sur des appareils mobiles ont divulgué des informations personnellement identifiables, y compris localisation, mots de passe, NIP VPN, numéros de téléphone et e-mails. Le coupable du problème réside dans les plateformes de stockage backend mal configurées, telles que MySQL, MongoDB, Redis, Elasticsearch.

Vulnérabilités des Bases de Données

Microsoft Azure

CVE-2017-8613

Description : Une vulnérabilité dans Azure Active Directory Connect, utilisé pour surveiller le statut de la synchronisation entre Active Directory local et un Active Directory basé sur le cloud. En cas de mauvaise configuration lors de l’activation, elle permet à un attaquant de réinitialiser les mots de passe et de gagner un accès non autorisé à des comptes utilisateurs privilégiés locaux AD.
Microsoft a déjà publié une mise à jour pour corriger la vulnérabilité.

IBM DB2

CVE-2017-1105

Score de Sévérité CVSS : 7.1

Description : Une vulnérabilité de débordement de tampon qui pourrait permettre à un utilisateur local d’écraser des fichiers DB2 ou de causer un déni de service.

CVE-2017-1297

Score de Sévérité CVSS : 7.3

Description : Vulnérabilité de débordement de tampon basé sur la pile, exploitable localement, causée par une vérification de limites incorrecte qui pourrait permettre à un attaquant local d’exécuter du code arbitraire.

PostgreSQL

CVE-2016-2192

Score de Sévérité CVSS : 6.5

Description : PostgreSQL PL/Java avant la version 1.5.0 permet aux utilisateurs authentifiés à distance de modifier les mappages de type pour des types qu’ils ne possèdent pas.

CVE-2016-0768

Score de Sévérité CVSS : 7.5

Description : PostgreSQL PL/Java après la version 9.0 ne respecte pas les contrôles d’accès sur les objets volumineux. Exploitable sur le réseau sans authentification.

CVE-2016-0767

Score de Sévérité CVSS : 6.5

Description : PostgreSQL PL/Java avant la version 1.5.0 permet aux utilisateurs authentifiés à distance avec la permission USAGE sur le schéma public de modifier le classpath du schéma public.

MS SQL

CVE-2015-9098

Description : Dans Redgate SQL Monitor, un attaquant distant peut obtenir un accès non authentifié au Moniteur de Base, ce qui entraîne la possibilité d’exécuter des commandes SQL arbitraires sur toutes les machines Microsoft SQL Server surveillées. Si le Moniteur de Base se connecte à ces machines en utilisant un compte avec des privilèges d’administrateur SQL, alors l’exécution de code sur le système d’exploitation peut entraîner une compromission complète du système (si Microsoft SQL Server fonctionne avec des privilèges d’administrateur local).

Hive

CVE-2017-7677

Score de Sévérité CVSS : 5.9

Description : Dans les environnements utilisant un emplacement externe pour les tables Hive, Hive Authorizer dans Apache Ranger devrait vérifier les permissions RWX pour la création de tables.

Base de Données Greenplum 4.3.14.1

La mise à jour de la base de données Greenplum présente une protection checksum pour détecter les problèmes de corruption dans les fichiers de suivi des modifications lors de la récupération avec l’utilitaire gprecoverseg de Greenplum Database ou lors de la resynchronisation de l’instance de segment de Greenplum Database. Voir la liste complète des bugs corrigés ici.

Vertica 7.2.3-21

Le correctif contient les changements suivants :

  • Un correctif de sécurité résolvant l’échec de la base de données lors de l’authentification LDAP.
  • Correctif d’intégration Kafka. Correction de l’insertion incorrecte des messages de journal dans la table système kafka_events.
  • Avortement de récupération lors d’un échec de verrou global de catalogue. Le problème a été résolu.
  • Une colonne d’identité sans séquence associée provoquait l’échec de la base de données lors de l’exportation d’objets. Le problème a été résolu.
 
Revue de la Sécurité des Bases de Données – Mai
Revue de la Sécurité des Bases de Données – Avril
Revue de la Sécurité des Bases de Données – Mars

Suivant

Digest de Sécurité des Bases de Données – Juillet 2017

Digest de Sécurité des Bases de Données – Juillet 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]