Revue de Sécurité de Bases de Données – Janvier 2017
Voici les nouvelles les plus remarquables sur les cyber-attaques et la sécurité des bases de données.
Pour les utilisateurs de MongoDB, l’année a commencé avec des risques énormes. Plus de 28 000 bases de données MongoDB détournées sont signalées. MongoDB est un système de gestion de bases de données NoSQL, gratuit et open source. Les attaques sont réalisées par différents groupes à l’aide de scripts simples exploitant un déploiement MongoDB mal configuré. Un ransomware efface la base de données et demande 100 à 500 dollars pour la récupérer. Le script n’est utile que pour ces bases de données MongoDB qui ont un mot de passe par défaut ou facile à deviner sur le compte administrateur et qui peuvent être accessibles via Internet. Il existe également des informations sur des attaques Hadoop et CouchDB effectuées selon le même schéma. Le problème commun des victimes serait une configuration par défaut qui permet un accès sans autorisation. La sécurité de ces plates-formes n’est pas le problème, le problème est survenu car étonnamment, de nombreuses entreprises ont négligé les principes de base de la sécurité des bases de données. Les entreprises qui n’ont pas sauvegardé les bases de données ont perdu leurs données pour de bon, car la plupart des attaquants ne récupèrent pas les données volées même après réception du paiement.
La communauté de jeux vidéo ESEA a été violée. 1,5 million de comptes sont compromis, y compris les noms d’utilisateur, les adresses e-mail, les mots de passe hachés, les dates de naissance et les numéros de téléphone. L’entreprise n’a pas stocké les informations de paiement et les mots de passe des comptes étaient chiffrés avec bcrypt.
Les banques indiennes ont rencontré un problème avec SWIFT, qui est un système utilisé pour sécuriser les transactions financières. Il n’y a pas eu de pertes d’argent, mais cela aurait pu être utilisé pour la duplication frauduleuse de documents commerciaux. Un audit est en train d’être effectué.
Sécurité des bases de données
Oracle a démarré cette année avec la publication régulière d’une mise à jour de patch critique qui corrige 270 vulnérabilités sur diverses plates-formes. La matrice de risque d’origine peut être trouvée ici.
MySQL
La mise à jour de patch critique contient 27 corrections de sécurité pour Oracle MySQL. 5 de ces vulnérabilités peuvent être exploitées à travers un réseau sans nécessiter de certificat d’utilisateur.
CVE # | Score CVSS | Composant | Description |
CVE-2015-7501 | 8.8 | MySQL Enterprise Monitor: Général | Vulnérabilité facilement exploitable qui permet à un attaquant de faible privilège avec un accès réseau via TLS de prendre le contrôle du composant MySQL Enterprise Monitor. |
CVE-2016-0635 | 8.8 | MySQL Enterprise Monitor: Général | Vulnérabilité facilement exploitable qui permet à un attaquant de faible privilège avec un accès réseau via TLS de prendre le contrôle du composant MySQL Enterprise Monitor. |
CVE-2016-0714 | 8.8 | MySQL Enterprise Monitor: Général | Vulnérabilité facilement exploitable qui permet à un attaquant de faible privilège avec un accès réseau via TLS de prendre le contrôle du composant MySQL Enterprise Monitor. |
CVE-2016-5541 | 4.8 | MySQL Cluster: NDBAPI | Permet à un attaquant non authentifié avec accès réseau par le biais de protocoles multiples de compromettre le composant MySQL Cluster. Une exploitation réussie peut entraîner l’accès non autorisé pour mettre à jour, insérer ou supprimer certaines données accessibles de MySQL Cluster et la capacité non autorisée de provoquer un déni de service partiel de MySQL Cluster. |
CVE-2016-5590 | 7.2 | MySQL Enterprise Monitor: Agent | Vulnérabilité facilement exploitable qui permet à un attaquant hautement privilégié avec un accès réseau via TLS de compromettre MySQL Enterprise Monitor. Les attaques réussies de cette vulnérabilité peuvent entraîner une prise de contrôle de MySQL Enterprise Monitor. |
CVE-2016-6304 | 7.5 | MySQL Enterprise Monitor: Général | Vulnérabilité facilement exploitable qui permet à un attaquant non authentifié avec un accès réseau via TLS de compromettre le composant MySQL Enterprise Monitor. Une exploitation réussie peut entraîner une capacité non autorisée à provoquer un blocage ou un crash répétable (DOS complet) du composant MySQL Enterprise Monitor. |
CVE-2016-8318 | 6.8 | MySQL Server: Cryptage | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. L’exploitation nécessite une autre partie en dehors de l’attaquant. Les attaques peuvent avoir un impact significatif sur des produits supplémentaires. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2016-8327 | 4.4 | MySQL Server: Réplication | Vulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3238 | 6.5 | MySQL Server: Optimiseur | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3243 | 4.4 | MySQL Server: Jeux de caractères | Vulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash repeatable (DOS complet) de MySQL Server. |
CVE-2017-3244 | 6.5 | MySQL Server: DML | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3251 | 4.9 | MySQL Server: Optimiseur | Vulnérabilité facilement exploitable qui permet à un attaquant très privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3256 | 6.5 | MySQL Server: Réplication | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3257 | 6.5 | MySQL Server: InnoDB | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3258 | 6.5 | MySQL Server: DDL | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3265 | 5.6 | MySQL Server: Emballage | Vulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec un accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’exploitation nécessite une interaction autre que celle de l’attaquant. Une exploitation réussie donne un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par MySQL Server et la capacité non autorisée de provoquer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3273 | 6.5 | MySQL Server: DDL | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3291 | 6.3 | MySQL Server: Emballage | Vulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’exploitation nécessite une autre partie en dehors de l’attaquant. Une exploitation réussie peut entraîner une prise de contrôle de MySQL Server. |
CVE-2017-3312 | 6.7 | MySQL Server: Emballage | Vulnérabilité difficile à exploiter qui permet à un attaquant à faible privilège avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’exploitation nécessite une autre partie en dehors de l’attaquant. Une exploitation réussie peut entraîner une prise de contrôle de MySQL Server. |
CVE-2017-3313 | 4.7 | MySQL Server: MyISAM | Vulnérabilité difficile à exploiter qui permet à un attaquant à faible privilège avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. Une exploitation réussie donne un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par MySQL Server. |
CVE-2017-3317 | 4.0 | MySQL Server: Journalisation | Vulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’attaque nécessite une autre interaction en dehors de l’attaquant. Une exploitation réussie permet à un utilisateur non autorisé de causer un blocage ou un crash répétable (DOS complet) de MySQL Server. |
CVE-2017-3318 | 4.0 | MySQL Server: Gestion des erreurs | Vulnérabilité difficile à exploiter qui permet à un attaquant hautement privilégié avec accès à l’infrastructure où MySQL Server s’exécute de compromettre MySQL Server. L’attaque nécessite une autre interaction en dehors de l’attaquant. Une exploitation réussie donne un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par MySQL Server. |
CVE-2017-3319 | 3.1 | MySQL Server: X Plugin | Vulnérabilité difficile à exploiter qui permet à un attaquant à faible privilège avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie peut entraîner un accès non autorisé en lecture à une partie des données accessibles par MySQL Server. |
CVE-2017-3320 | 2.4 | MySQL Server: Cryptage | Vulnérabilité facilement exploitable qui permet à un attaquant hautement privilégié avec un accès réseau via de multiples protocoles de compromettre MySQL Server. Une exploitation réussie donne un accès non autorisé en lecture à une partie des données accessibles par MySQL Server. |
CVE-2017-3321 | 3.7 | MySQL Cluster: Général | Vulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via de multiples protocoles de compromettre MySQL Cluster. Une exploitation réussie donne une capacité non autorisée à provoquer un déni de service partiel (DOS partiel) de MySQL Cluster. |
CVE-2017-3322 | 3.7 | MySQL Cluster: NDBAPI | Vulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via de multiples protocoles de compromettre MySQL Cluster. Une exploitation réussie donne une capacité non autorisée à provoquer un déni de service partiel (DOS partiel) de MySQL Cluster. |
CVE-2017-3323 | 3.7 | MySQL Cluster: Général | Vulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via de multiples protocoles de compromettre MySQL Cluster. Une exploitation réussie donne une capacité non autorisée à provoquer un déni de service partiel (DOS partiel) de MySQL Cluster. |
Oracle Database Server
Cette mise à jour de patch critique contient 5 nouvelles corrections de sécurité pour Oracle Database Server. 3 d’entre elles peuvent être exploitées à distance sans authentification.
CVE # | Score CVSS | Composant | Description |
CVE-2017-3240 | 3.3 | Sécurité RDBMS | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège ayant le privilège de connexion locale avec accès à l’infrastructure où s’exécute la sécurité RDBMS de compromettre le composant de sécurité RDBMS. Une exploitation réussie peut entraîner un accès non autorisé en lecture à une partie des données accessibles par la sécurité RDBMS. |
CVE-2017-3310 | 9.0 | OJVM | Vulnérabilité facilement exploitable qui permet à un attaquant à faible privilège ayant les privilèges Créer Session, Créer Procédure avec un accès réseau via de multiples protocoles de compromettre OJVM. L’attaque peut avoir un impact significatif sur des produits supplémentaires et nécessite une interaction supplémentaire en dehors de l’attaquant. Une exploitation réussie peut entraîner la prise de contrôle d’OJVM. |
CVE-2015-1791 | 5.6 | Oracle Secure Backup: OpenSSL | Vulnérabilité difficile à exploiter qui permet à un attaquant non authentifié avec un accès réseau via HTTPS de compromettre OpenSSL. Une exploitation réussie peut entraîner un accès non autorisé à la mise à jour, à l’insertion ou à la suppression de certaines données accessibles par OpenSSL, un accès non autorisé en lecture à une sous-ensemble de données accessibles par OpenSSL, et une capacité non autorisée à provoquer un déni de service partiel d’OpenSSL. |
CVE-2016-1903 | 9.1 | Oracle Secure Backup: PHP | Vulnérabilité facilement exploitable qui permet à un attaquant non authentifié avec un accès réseau via HTTP de compromettre PHP. Une exploitation réussie peut entraîner un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par PHP et la capacité non autorisée de provoquer un blocage ou un crash répétable (DOS complet) de PHP. |
CVE-2015-3253 | 9.8 | Oracle Big Data Graph | Vulnérabilité facilement exploitable qui permet à un attaquant non authentifié avec un accès réseau via HTTP de compromettre le composant Spatial. Une exploitation réussie peut entraîner la prise de contrôle du composant Spatial. |
Pivotal Greenplum Database 4.3.11.3
Une nouvelle version de Greenplum Database contient les modifications suivantes:
- Le problème de gptransfer qui se produisait lors de la copie de tables avec plusieurs clés de distribution a été résolu.
- Le planificateur de requêtes aurait pu générer un plan qui a renvoyé des résultats incorrects pour certaines requêtes de fenêtres. Le problème a été résolu.
- Les échecs des utilitaires gpstart/gpstop après un redémarrage du serveur ont été corrigés.
- Améliorations des performances de l’Optimiseur de Requêtes, du Planificateur de Requêtes, de l’Exécution de Requêtes, de la Gestion des Transactions, des Tables Externes S3.
- Autres améliorations et modifications concernant les scripts suivants: analyzedb, Sauvegarde, Restauration, recoverseg, gptransfer.
Revue de Sécurité de Bases de Données – Décembre Revue de Sécurité de Bases de Données – Novembre Revue de Sécurité de Bases de Données – Octobre