DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Revue de Sécurité de Bases de Données – Janvier 2017

Voici les nouvelles les plus remarquables sur les cyber-attaques et la sécurité des bases de données.

Pour les utilisateurs de MongoDB, l’année a commencé avec des risques énormes. Plus de 28 000 bases de données MongoDB détournées sont signalées. MongoDB est un système de gestion de bases de données NoSQL, gratuit et open source. Les attaques sont réalisées par différents groupes à l’aide de scripts simples exploitant un déploiement MongoDB mal configuré. Un ransomware efface la base de données et demande 100 à 500 dollars pour la récupérer. Le script n’est utile que pour ces bases de données MongoDB qui ont un mot de passe par défaut ou facile à deviner sur le compte administrateur et qui peuvent être accessibles via Internet. Il existe également des informations sur des attaques Hadoop et CouchDB effectuées selon le même schéma. Le problème commun des victimes serait une configuration par défaut qui permet un accès sans autorisation. La sécurité de ces plates-formes n’est pas le problème, le problème est survenu car étonnamment, de nombreuses entreprises ont négligé les principes de base de la sécurité des bases de données. Les entreprises qui n’ont pas sauvegardé les bases de données ont perdu leurs données pour de bon, car la plupart des attaquants ne récupèrent pas les données volées même après réception du paiement.

La communauté de jeux vidéo ESEA a été violée. 1,5 million de comptes sont compromis, y compris les noms d’utilisateur, les adresses e-mail, les mots de passe hachés, les dates de naissance et les numéros de téléphone. L’entreprise n’a pas stocké les informations de paiement et les mots de passe des comptes étaient chiffrés avec bcrypt.

Les banques indiennes ont rencontré un problème avec SWIFT, qui est un système utilisé pour sécuriser les transactions financières. Il n’y a pas eu de pertes d’argent, mais cela aurait pu être utilisé pour la duplication frauduleuse de documents commerciaux. Un audit est en train d’être effectué.

Sécurité des bases de données

Oracle a démarré cette année avec la publication régulière d’une mise à jour de patch critique qui corrige 270 vulnérabilités sur diverses plates-formes. La matrice de risque d’origine peut être trouvée ici.

MySQL

La mise à jour de patch critique contient 27 corrections de sécurité pour Oracle MySQL. 5 de ces vulnérabilités peuvent être exploitées à travers un réseau sans nécessiter de certificat d’utilisateur.

CVE #Score CVSSComposantDescription
CVE-2015-75018.8MySQL Enterprise Monitor: GénéralVulnérabilité facilement exploitable qui permet à un attaquant de faible privilège avec un accès réseau via TLS de prendre le contrôle du composant MySQL Enterprise Monitor.
CVE-2016-06358.8MySQL Enterprise Monitor: GénéralVulnérabilité facilement exploitable qui permet à un attaquant de faible privilège avec un accès réseau via TLS de prendre le contrôle du composant MySQL Enterprise Monitor.
CVE-2016-07148.8MySQL Enterprise Monitor: GénéralVulnérabilité facilement exploitable qui permet à un attaquant de faible privilège avec un accès réseau via TLS de prendre le contrôle du composant MySQL Enterprise Monitor.
CVE-2016-55414.8MySQL Cluster: NDBAPIPermet à un attaquant non authentifié avec accès réseau par le biais de protocoles multiples de compromettre le composant MySQL Cluster. Une exploitation réussie peut entraîner l’accès non autorisé pour mettre à jour, insérer ou supprimer certaines données accessibles de MySQL Cluster et la capacité non autorisée de provoquer un déni de service partiel de MySQL Cluster.
CVE-2016-55907.2MySQL Enterprise Monitor: AgentVulnérabilité facilement exploitable qui permet à un attaquant hautement privilégié avec un accès réseau via TLS de compromettre MySQL Enterprise Monitor. Les attaques réussies de cette vulnérabilité peuvent entraîner une prise de contrôle de MySQL Enterprise Monitor.
CVE-2016-63047.5MySQL Enterprise Monitor: GénéralVulnérabilité facilement exploitable qui permet à un attaquant non authentifié avec un accès réseau via TLS de compromettre le composant MySQL Enterprise Monitor. Une exploitation réussie peut entraîner une capacité non autorisée à provoquer un blocage ou un crash répétable (DOS complet) du composant MySQL Enterprise Monitor.
CVE-2016-83186.8MySQL Server: CryptageVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. L’exploitation nécessite une autre partie en dehors de l’attaquant. Les attaques peuvent avoir un impact significatif sur des produits supplémentaires. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2016-83274.4MySQL Server: RéplicationVulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32386.5MySQL Server: OptimiseurVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32434.4MySQL Server: Jeux de caractèresVulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash repeatable (DOS complet) de MySQL Server.
CVE-2017-32446.5MySQL Server: DMLVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32514.9MySQL Server: OptimiseurVulnérabilité facilement exploitable qui permet à un attaquant très privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32566.5MySQL Server: RéplicationVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32576.5MySQL Server: InnoDBVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32586.5MySQL Server: DDLVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32655.6MySQL Server: EmballageVulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec un accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’exploitation nécessite une interaction autre que celle de l’attaquant. Une exploitation réussie donne un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par MySQL Server et la capacité non autorisée de provoquer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32736.5MySQL Server: DDLVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-32916.3MySQL Server: EmballageVulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’exploitation nécessite une autre partie en dehors de l’attaquant. Une exploitation réussie peut entraîner une prise de contrôle de MySQL Server.
CVE-2017-33126.7MySQL Server: EmballageVulnérabilité difficile à exploiter qui permet à un attaquant à faible privilège avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’exploitation nécessite une autre partie en dehors de l’attaquant. Une exploitation réussie peut entraîner une prise de contrôle de MySQL Server.
CVE-2017-33134.7MySQL Server: MyISAMVulnérabilité difficile à exploiter qui permet à un attaquant à faible privilège avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. Une exploitation réussie donne un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par MySQL Server.
CVE-2017-33174.0MySQL Server: JournalisationVulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’attaque nécessite une autre interaction en dehors de l’attaquant. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server.
CVE-2017-33184.0MySQL Server: Gestion des erreursVulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’attaque nécessite une autre interaction en dehors de l’attaquant. Une exploitation réussie donne un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par MySQL Server.
CVE-2017-33193.1MySQL Server: X PluginVulnérabilité difficile à exploiter qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie peut entraîner un accès non autorisé en lecture à une partie des données accessibles par MySQL Server.
CVE-2017-33202.4MySQL Server: CryptageVulnérabilité facilement exploitable qui permet à un attaquant hautement privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie donne un accès non autorisé en lecture à une partie des données accessibles par MySQL Server.
CVE-2017-33213.7MySQL Cluster: GénéralVulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via de multiples protocoles de compromettre MySQL Cluster. Une exploitation réussie donne une capacité non autorisée à provoquer un déni de service partiel (DOS partiel) de MySQL Cluster.
CVE-2017-33223.7MySQL Cluster: NDBAPIVulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via de multiples protocoles de compromettre MySQL Cluster. Une exploitation réussie donne une capacité non autorisée à provoquer un déni de service partiel (DOS partiel) de MySQL Cluster.
CVE-2017-33233.7MySQL Cluster: GénéralVulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via de multiples protocoles de compromettre MySQL Cluster. Une exploitation réussie donne une capacité non autorisée à provoquer un déni de service partiel (DOS partiel) de MySQL Cluster.

 Oracle Database Server

Cette mise à jour de patch critique contient 5 nouvelles corrections de sécurité pour Oracle Database Server. 3 d’entre elles peuvent être exploitées à distance sans authentification.

CVE #Score CVSSComposant Description
CVE-2017-32403.3Sécurité RDBMSVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège ayant le privilège de connexion locale avec accès à l’infrastructure où s’exécute la sécurité RDBMS de compromettre le composant de sécurité RDBMS. Une exploitation réussie peut entraîner un accès non autorisé en lecture à une partie des données accessibles par la sécurité RDBMS.
CVE-2017-33109.0OJVMVulnérabilité facilement exploitable qui permet à un attaquant à faible privilège ayant les privilèges Créer Session, Créer Procédure avec un accès réseau via de multiples protocoles de compromettre OJVM. L’attaque peut avoir un impact significatif sur des produits supplémentaires et nécessite une interaction supplémentaire en dehors de l’attaquant. Une exploitation réussie peut entraîner la prise de contrôle d’OJVM.
CVE-2015-17915.6Oracle Secure Backup: OpenSSLVulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via HTTPS de compromettre OpenSSL. Une exploitation réussie peut entraîner un accès non autorisé à la mise à jour, à l’insertion ou à la suppression de certaines données accessibles par OpenSSL, un accès non autorisé en lecture à une sous-ensemble de données accessibles par OpenSSL, et une capacité non autorisée à provoquer un déni de service partiel d’OpenSSL.
CVE-2016-19039.1Oracle Secure Backup: PHPVulnérabilité facilement exploitable qui permet à un attaquant non authentifié avec un accès réseau via HTTP de compromettre PHP. Une exploitation réussie peut entraîner un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par PHP et la capacité non autorisée de provoquer un blocage ou un crash répétable (DOS complet) de PHP.
CVE-2015-32539.8Oracle Big Data GraphVulnérabilité facilement exploitable qui permet à un attaquant non authentifié avec un accès réseau via HTTP de compromettre le composant Spatial. Une exploitation réussie peut entraîner la prise de contrôle du composant Spatial.

Pivotal Greenplum Database 4.3.11.3

Une nouvelle version de Greenplum Database contient les modifications suivantes:

  • Le problème de gptransfer qui se produisait lors de la copie de tables avec plusieurs clés de distribution a été résolu.
  • Le planificateur de requêtes aurait pu générer un plan qui a renvoyé des résultats incorrects pour certaines requêtes de fenêtres. Le problème a été résolu.
  • Les échecs des utilitaires gpstart/gpstop après un redémarrage du serveur ont été corrigés.
  • Améliorations des performances de l’Optimiseur de Requêtes, du Planificateur de Requêtes, de l’Exécution de Requêtes, de la Gestion des Transactions, des Tables Externes S3.
  • Autres améliorations et modifications concernant les scripts suivants: analyzedb, Sauvegarde, Restauration, recoverseg, gptransfer.

Revue de Sécurité de Bases de Données – Décembre
Revue de Sécurité de Bases de Données – Novembre
Revue de Sécurité de Bases de Données – Octobre

Suivant

Digest de la Sécurité des Bases de Données – Février 2017

Digest de la Sécurité des Bases de Données – Février 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]