DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Sicurezza dei Database Digest, Giugno-Luglio 2016

Secondo l’ultimo rapporto IBM Security rilasciato questo giugno, il costo medio di una violazione dei dati ha raggiunto i 4 milioni di dollari, rappresentando un aumento del 29% dal 2013. Ogni documento perso o rubato costa alle aziende circa 158 dollari. C’è anche un desolante aumento del 64% negli incidenti di sicurezza segnalati. I risultati del rapporto implicano che gli attacchi informatici stanno migliorando e subire una violazione diventa più costoso, il che ricorda l’importanza di essere aggiornati quando si tratta di sicurezza delle informazioni. Ecco il digest degli aggiornamenti DBMS rilasciati di recente e informazioni sulle vulnerabilità più importanti risolte.

Aggiornamenti Estesi da Oracle

Oracle continua ad estendere la propria sfera di influenza raggiungendo un accordo del valore di 9,3 miliardi di dollari per acquisire NetSuite, che è un’azienda che vende un gruppo di servizi software utilizzati per gestire le relazioni operative e con i clienti di oltre 30,000 organizzazioni. Subito prima dell’annuncio della grande operazione, Oracle ha rilasciato il prossimo Aggiornamento Critico Programmato, superando il suo record indesiderato precedente per il numero di correzioni di sicurezza risolvendo 27,6 problemi in vari prodotti, incluso Oracle Database Server e Oracle MySQL.

Per Oracle MySQL l’Aggiornamento Critico Programmato contiene 22 nuove correzioni di sicurezza. 3 di queste vulnerabilità (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) potrebbero essere sfruttabili da remoto senza autenticazione. Ecco la matrice di rischio di Oracle MySQL:

 
CVE#ComponenteSottocomponenteProtocolloSfruttamento Remoto Senza Autenticazione?Punteggio di BaseVettore di AttaccoComplesso di AttaccoPrivilegi RichiestiInterazione Utente
CVE-2016-3477MySQL ServerServer: ParserNessunoNo8.1LocaleAltoNessunoNessuno
CVE-2016-3440MySQL ServerServer: OttimizzatoreProtocollo MySQLNo7.7ReteBassoBassoNessuno
CVE-2016-2105MySQL ServerServer: Sicurezza: CrittografiaProtocollo MySQL7.5ReteBassoNessunoNessuno
CVE-2016-3471MySQL ServerServer: OpzioneNessunoNo7.5LocaleAltoAltoNessuno
CVE-2016-3486MySQL ServerServer: FTSProtocollo MySQLNo6.5ReteBassoBassoNessuno
CVE-2016-3501MySQL ServerServer: OttimizzatoreProtocollo MySQLNo6.5ReteBassoBassoNessuno
CVE-2016-3518MySQL ServerServer: OttimizzatoreProtocollo MySQLNo6.5ReteBassoBassoNessuno
CVE-2016-3521MySQL ServerServer: TipiProtocollo MySQLNo6.5ReteBassoBassoNessuno
CVE-2016-3588MySQL ServerServer: InnoDBProtocollo MySQLNo5.9ReteAltoBassoNessuno
CVE-2016-3615MySQL ServerServer: DMLProtocollo MySQLNo5.3ReteAltoBassoNessuno
CVE-2016-3614MySQL ServerServer: Sicurezza: CrittografiaProtocollo MySQLNo5.3ReteAltoBassoNessuno
CVE-2016-5436MySQL ServerServer: InnoDBProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-3459MySQL ServerServer: InnoDBProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-5437MySQL ServerServer: LogProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-3424MySQL ServerServer: OttimizzatoreProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-5439MySQL ServerServer: PrivilegiProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-5440MySQL ServerServer: RBRProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-5441MySQL ServerServer: ReplicaProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-5442MySQL ServerServer: Sicurezza: CrittografiaProtocollo MySQLNo4.9ReteBassoAltoNessuno
CVE-2016-5443MySQL ServerServer: ConnessioneNessunoNo4.7LocaleAltoNessunoRichiesto
CVE-2016-5444MySQL ServerServer: ConnessioneProtocollo MySQL3.7ReteAltoNessunoNessuno
CVE-2016-3452MySQL ServerServer: Sicurezza: CrittografiaProtocollo MySQL3.7ReteAltoNessunoNessuno

Per Oracle Database Server l’Aggiornamento Critico Programmato contiene 9 nuove correzioni di sicurezza. 5 di queste vulnerabilità (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) potrebbero essere sfruttabili da remoto senza autenticazione.

Matrice di Rischio per Oracle Database Server

CVE#ComponentePacchetto e/o Privilegio RichiestoProtocolloSfruttamento Remoto Senza Autenticazione?Punteggio di BaseVettore di AttaccoComplesso di AttaccoPrivilegi RichiestiInterazione Utente
CVE-2016-3609OJVMCreate SessionMultiploNo9.0ReteBassoBassoRichiesto
CVE-2016-3506JDBCNessunoOracle Net8.1ReteAltoNessunoNessuno
CVE-2016-3479Clusterware PortabileNessunoOracle Net7.5ReteBassoNessunoNessuno
CVE-2016-3489Importazione del Pump DatiIndice su SYS.INCVIDOracle NetNo6.7LocaleBassoAltoNessuno
CVE-2016-3448Express ApplicazioneNessunoHTTP6.1ReteBassoNessunoRichiesto
CVE-2016-3467Express ApplicazioneNessunoHTTP5.8ReteBassoNessunoNessuno
CVE-2015-0204RDBMSListener HTTPSHTTPS5.3ReteAltoNessunoRichiesto
CVE-2016-3488Sharding DBEsegui su gsmadmin_internalOracle NetNo4.4LocaleBassoAltoNessuno
CVE-2016-3484Cassaforte DatabaseCrea Sinonimo PubblicoOracle NetNo3.4LocaleBassoAltoNessuno

Per quanto riguarda gli altri prodotti Oracle, in 19 vulnerabilità corrette in 9 prodotti diversi hanno un punteggio di 9,8 da CVSS 3.0, tenendo presente ciò, per molti utenti sarà essenziale installare la patch.

Rilascio di MySQL 5.7.13

MySQL 5.7.13 è stato ufficialmente rilasciato a giugno. La nuova versione di MySQL Server ha un’interfaccia SQL per la gestione delle chiavi keyring, implementata come un set di funzioni definite dall’utente (UDF) che accedono alle funzioni fornite dal servizio interno keyring. Ecco le vulnerabilità di sicurezza corrette nella nuova versione:

CVE-2016-2106 (avviso OpenSSL, bassa gravità)

Overflow del valore intero nella funzione EVP_EncryptUpdate in crypto/evp/evp_enc.c in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di causare un denial of service (corruzione della memoria heap) tramite una grande quantità di dati.

CVE-2016-2105 (avviso OpenSSL, bassa gravità)

Overflow del valore intero nella funzione EVP_EncodeUpdate in crypto/evp/encode.c in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di causare un denial of service (corruzione della memoria heap) tramite una grande quantità di dati binari.

CVE-2016-2109 (avviso OpenSSL, bassa gravità)

La funzione asn1_d2i_read_bio in crypto/asn1/a_d2i_fp.c nell’implementazione ASN.1 BIO in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di causare un denial of service (consumo della memoria) tramite una codifica non valida breve.

CVE-2016-2107 (avviso OpenSSL, alta gravità)

L’implementazione AES-NI in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h non considera l’allocazione della memoria durante un certo controllo di padding, il che consente agli attaccanti remoti di ottenere informazioni sensibili di testo in chiaro tramite un attacco di padding-oracle in una sessione AES CBC, NOTA: questa vulnerabilità esiste a causa di una correzione errata per CVE-2013-0169.

CVE-2016-2176 (avviso OpenSSL, bassa gravità)

La funzione X509_NAME_oneline in crypto/x509/x509_obj.c in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di ottenere informazioni sensibili dalla memoria dello stack del processo o causare un denial of service (lettura eccessiva del buffer) tramite dati ASN.1 EBCDIC appositamente realizzati.

Altri Aggiornamenti

Greenplum Database 4.3.8.1 è un rilascio di manutenzione che non aggiunge nuove funzionalità, ma risolve alcuni problemi noti e include miglioramenti delle prestazioni e stabilità, utilità gpdbrestore, utilità gpcheckcat, utilità gpload, protocollo tabella esterna s3 e estensione MADlib.

La versione Alpha di MariaDB 10.2.1 è stata rilasciata a luglio. MariaDB 10.2 è un’evoluzione di MariaDB 10.1 con alcune nuove funzionalità che non si trovano altrove e con funzionalità reimplementate da MySQL 5.6 e 5.7. MariaDB 10.2.1 è in uno stato Alpha.

Il Gruppo di Sviluppo Globale di PostgreSQL ha annunciato che PostgreSQL 9.6 Beta 3 è disponibile per il download. Questo rilascio include anteprime di tutte le funzionalità che saranno disponibili nel rilascio finale della versione 9.6, inclusi i correttivi a molti dei problemi trovati negli beta precedenti. Il rilascio finale di PostgreSQL sarà alla fine del 2016.

Successivo

Database Security Digest – Agosto 2016

Database Security Digest – Agosto 2016

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]