DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de Sécurité des Bases de Données pour Mars 2017

Le mois dernier, Gemalto a publié les résultats de leur recherche sur les violations de données, révélant une augmentation de 86% par rapport à 2015. 1,4 milliard de dossiers de données ont été compromis en 2016. Pour vous tenir informé des dernières tendances, nous avons combiné les informations du mois dernier sur les incidents de sécurité des bases de données, les nouvelles vulnérabilités et les correctifs des systèmes de gestion de bases de données.

Incidents de Cybersécurité

Après la série d’attaques sur MongoDB, le FBI a averti d’une augmentation de l’activité criminelle ciblant les serveurs FTP utilisés par les organisations médicales et dentaires configurés pour permettre un accès anonyme sans authentification. Les administrateurs doivent s’assurer que les EPHI (informations de santé protégées électroniquement) ou les PII (informations personnellement identifiables) ne sont pas stockées sur des serveurs FTP où le mode anonyme est activé.

Concernant la célèbre méga violation de Yahoo!, les États-Unis accusent deux agents du renseignement russe et deux hackers russes. L’un des accusés a été arrêté au Canada. L’acte d’accusation allègue que des officiers du Centre de Sécurité de l’Information du FSB se sont associés à des cyber-criminels pour violer le réseau de Yahoo! et accéder aux informations de compte et aux données propriétaires sur la création de cookies utilisés pour accéder aux comptes Yahoo!. Selon l’acte d’accusation, le but de l’attaque n’était pas seulement le renseignement mais aussi un gain financier privé. En attendant, un million de mots de passe de comptes Yahoo! et Gmail sont en vente sur le dark web.

Neiman Marcus a accepté de payer 1,6 million de dollars pour régler une violation de données. En décembre 2013, le grand magasin de luxe américain Neiman Marcus a été attaqué, ce qui a entraîné l’exposition des informations de cartes de crédit de ses 350 000 clients. Ainsi, la société doit maintenant payer une fortune pour non-respect de la législation sur la cybersécurité.

ABTA, l’association commerciale de voyages qui représente les agents de voyages et les voyagistes au Royaume-Uni, a alerté les utilisateurs d’une violation de données. On pense que 43 000 de ses clients sont touchés. Les données volées comprennent des adresses e-mail, des mots de passe cryptés des clients d’ABTA, des coordonnées des clients des membres d’ABTA qui ont utilisé le site Web pour déposer une plainte. Selon ABTA, la majorité des mots de passe étaient chiffrés et le risque de vol d’identité et de fraude en ligne est faible.

Sécurité des Bases de Données

La dernière semaine de mars, Percona a annoncé la sortie de Percona Server 5.7.17-12 basé sur MySQL 5.7.17.

La version contient des correctifs de bogues et de plantages, et il y a une nouvelle fonctionnalité mysqldump qui aide à sauvegarder les serveurs et recharger les fichiers de vidage. La fonctionnalité s’est également avérée contenir une vulnérabilité qui sera mentionnée ultérieurement.

CVE-2016-5483

Une vulnérabilité détectée dans l’utilitaire mysqldump de MySQL, qui est utilisé pour créer des sauvegardes logiques de bases de données.CVE-2016-5483 permet à un attaquant d’exécuter des requêtes SQL arbitraires et des commandes shell lors de la récupération de la sauvegarde à l’aide de l’utilitaire mysqldump. Pour exploiter la vulnérabilité, un attaquant doit acquérir des privilèges pour créer des tables.

MariaDB 10.1.22

En plus de corriger certains problèmes connus, la nouvelle version de MariaDB corrige deux vulnérabilités de sécurité :

CVE-2017-3313

Score de gravité CVSS : 4,7

Vulnérabilité exploitable localement dans le serveur MySQL (sous-composant MyISAM). Une vulnérabilité difficile à exploiter qui permet à un attaquant avec de faibles privilèges et un accès au système exécutant le serveur MySQL de compromettre le serveur MySQL. Une attaque réussie peut aboutir à un accès non autorisé aux données critiques ou à un accès complet à toutes les données accessibles du serveur MySQL.

CVE-2017-3302

Score de gravité CVSS : 7,5

Une vulnérabilité exploitable à distance permettant de perturber le service causant un crash dans libmysqlclient.so. Versions affectées: MariaDB jusqu’à 5.5.54 et 10.0.29, Oracle MySQL avant 5.6.21 et 5.7.5.

Nouvelles Failles de Sécurité

CVE-2016-6225

Score de gravité CVSS : 5,9

Une autre vulnérabilité a été trouvée dans xbcrypt dans Percona XtraBackup avant 2.3.6 et 2.4.x avant 2.4.5. Elle existe en raison d’une correction incomplète deCVE-2013-6394. L’outil xbcrypt prend en charge le cryptage et le décryptage des sauvegardes. Il s’est avéré qu’il ne définit pas correctement le vecteur d’initialisation (IV) pour le cryptage, permettant à des attaquants dépendants du contexte d’obtenir des données sensibles à partir de fichiers de sauvegarde chiffrés via une attaque par texte en clair choisi. La vulnérabilité est exploitable à distance.

CVE-2017-1150

Score de gravité CVSS : 3,1

Une vulnérabilité nouvellement découverte dans IBM DB2 permet à un attaquant authentifié de consulter des tables qu’il n’est pas autorisé à visualiser. La vulnérabilité est exploitable à distance et nécessite une authentification.

Correctif de Sécurité SAP HANA

SAP a corrigé une série de vulnérabilités critiques dans sa plateforme commerciale basée sur le cloud HANA. Si elles sont exploitées, elles pourraient entraîner une compromission complète du système sans authentification. Un attaquant pourrait voler des données confidentielles dans la base de données, perturber les processus commerciaux clés et modifier le code HTML pour les sites exécutés sur HANA XS, même sans avoir un nom d’utilisateur ou un mot de passe légitime.

Ces vulnérabilités affectent le composant Self Service Utilisateur (USS) qui permet l’auto-enregistrement des utilisateurs, le changement et la réinitialisation des mots de passe. Le service est désactivé par défaut mais certains utilisateurs l’activent pour permettre aux utilisateurs externes d’accéder aux capacités internes.

La vulnérabilité dans USS est évaluée à 9,8 par CVSS, ce qui permet à un attaquant distant de prendre un contrôle total de SAP HANA sans nom d’utilisateur et mot de passe. Il est fortement recommandé de désactiver le service ou d’appliquer le correctif.

Une autre vulnérabilité, de fixation de session (8.8 CVSS), permet à un attaquant d’élever ses privilèges en se faisant passer pour un autre utilisateur dans le système.

Le correctif de sécurité de mars contient également des correctifs pour les vulnérabilités DoS, l’exécution de code à distance, XSS et injection SQL de certains composants. Les développeurs SAP recommandent de corriger les bases de données HANA dès que possible.

Digest de Sécurité des Bases de Données – Février
Digest de Sécurité des Bases de Données – Janvier
Digest de Sécurité des Bases de Données – Décembre

Suivant

Digest de la Sécurité de Base de Données – Avril 2017

Digest de la Sécurité de Base de Données – Avril 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]