Sicurezza dei Database Digest, Giugno-Luglio 2016
Secondo l’ultimo rapporto IBM Security rilasciato questo giugno, il costo medio di una violazione dei dati ha raggiunto i 4 milioni di dollari, rappresentando un aumento del 29% dal 2013. Ogni documento perso o rubato costa alle aziende circa 158 dollari. C’è anche un desolante aumento del 64% negli incidenti di sicurezza segnalati. I risultati del rapporto implicano che gli attacchi informatici stanno migliorando e subire una violazione diventa più costoso, il che ricorda l’importanza di essere aggiornati quando si tratta di sicurezza delle informazioni. Ecco il digest degli aggiornamenti DBMS rilasciati di recente e informazioni sulle vulnerabilità più importanti risolte.
Aggiornamenti Estesi da Oracle
Oracle continua ad estendere la propria sfera di influenza raggiungendo un accordo del valore di 9,3 miliardi di dollari per acquisire NetSuite, che è un’azienda che vende un gruppo di servizi software utilizzati per gestire le relazioni operative e con i clienti di oltre 30,000 organizzazioni. Subito prima dell’annuncio della grande operazione, Oracle ha rilasciato il prossimo Aggiornamento Critico Programmato, superando il suo record indesiderato precedente per il numero di correzioni di sicurezza risolvendo 27,6 problemi in vari prodotti, incluso Oracle Database Server e Oracle MySQL.
Per Oracle MySQL l’Aggiornamento Critico Programmato contiene 22 nuove correzioni di sicurezza. 3 di queste vulnerabilità (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) potrebbero essere sfruttabili da remoto senza autenticazione. Ecco la matrice di rischio di Oracle MySQL:
CVE# | Componente | Sottocomponente | Protocollo | Sfruttamento Remoto Senza Autenticazione? | Punteggio di Base | Vettore di Attacco | Complesso di Attacco | Privilegi Richiesti | Interazione Utente |
CVE-2016-3477 | MySQL Server | Server: Parser | Nessuno | No | 8.1 | Locale | Alto | Nessuno | Nessuno |
CVE-2016-3440 | MySQL Server | Server: Ottimizzatore | Protocollo MySQL | No | 7.7 | Rete | Basso | Basso | Nessuno |
CVE-2016-2105 | MySQL Server | Server: Sicurezza: Crittografia | Protocollo MySQL | Sì | 7.5 | Rete | Basso | Nessuno | Nessuno |
CVE-2016-3471 | MySQL Server | Server: Opzione | Nessuno | No | 7.5 | Locale | Alto | Alto | Nessuno |
CVE-2016-3486 | MySQL Server | Server: FTS | Protocollo MySQL | No | 6.5 | Rete | Basso | Basso | Nessuno |
CVE-2016-3501 | MySQL Server | Server: Ottimizzatore | Protocollo MySQL | No | 6.5 | Rete | Basso | Basso | Nessuno |
CVE-2016-3518 | MySQL Server | Server: Ottimizzatore | Protocollo MySQL | No | 6.5 | Rete | Basso | Basso | Nessuno |
CVE-2016-3521 | MySQL Server | Server: Tipi | Protocollo MySQL | No | 6.5 | Rete | Basso | Basso | Nessuno |
CVE-2016-3588 | MySQL Server | Server: InnoDB | Protocollo MySQL | No | 5.9 | Rete | Alto | Basso | Nessuno |
CVE-2016-3615 | MySQL Server | Server: DML | Protocollo MySQL | No | 5.3 | Rete | Alto | Basso | Nessuno |
CVE-2016-3614 | MySQL Server | Server: Sicurezza: Crittografia | Protocollo MySQL | No | 5.3 | Rete | Alto | Basso | Nessuno |
CVE-2016-5436 | MySQL Server | Server: InnoDB | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-3459 | MySQL Server | Server: InnoDB | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-5437 | MySQL Server | Server: Log | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-3424 | MySQL Server | Server: Ottimizzatore | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-5439 | MySQL Server | Server: Privilegi | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-5440 | MySQL Server | Server: RBR | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-5441 | MySQL Server | Server: Replica | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-5442 | MySQL Server | Server: Sicurezza: Crittografia | Protocollo MySQL | No | 4.9 | Rete | Basso | Alto | Nessuno |
CVE-2016-5443 | MySQL Server | Server: Connessione | Nessuno | No | 4.7 | Locale | Alto | Nessuno | Richiesto |
CVE-2016-5444 | MySQL Server | Server: Connessione | Protocollo MySQL | Sì | 3.7 | Rete | Alto | Nessuno | Nessuno |
CVE-2016-3452 | MySQL Server | Server: Sicurezza: Crittografia | Protocollo MySQL | Sì | 3.7 | Rete | Alto | Nessuno | Nessuno |
Per Oracle Database Server l’Aggiornamento Critico Programmato contiene 9 nuove correzioni di sicurezza. 5 di queste vulnerabilità (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) potrebbero essere sfruttabili da remoto senza autenticazione.
Matrice di Rischio per Oracle Database Server
CVE# | Componente | Pacchetto e/o Privilegio Richiesto | Protocollo | Sfruttamento Remoto Senza Autenticazione? | Punteggio di Base | Vettore di Attacco | Complesso di Attacco | Privilegi Richiesti | Interazione Utente |
CVE-2016-3609 | OJVM | Create Session | Multiplo | No | 9.0 | Rete | Basso | Basso | Richiesto |
CVE-2016-3506 | JDBC | Nessuno | Oracle Net | Sì | 8.1 | Rete | Alto | Nessuno | Nessuno |
CVE-2016-3479 | Clusterware Portabile | Nessuno | Oracle Net | Sì | 7.5 | Rete | Basso | Nessuno | Nessuno |
CVE-2016-3489 | Importazione del Pump Dati | Indice su SYS.INCVID | Oracle Net | No | 6.7 | Locale | Basso | Alto | Nessuno |
CVE-2016-3448 | Express Applicazione | Nessuno | HTTP | Sì | 6.1 | Rete | Basso | Nessuno | Richiesto |
CVE-2016-3467 | Express Applicazione | Nessuno | HTTP | Sì | 5.8 | Rete | Basso | Nessuno | Nessuno |
CVE-2015-0204 | RDBMS | Listener HTTPS | HTTPS | Sì | 5.3 | Rete | Alto | Nessuno | Richiesto |
CVE-2016-3488 | Sharding DB | Esegui su gsmadmin_internal | Oracle Net | No | 4.4 | Locale | Basso | Alto | Nessuno |
CVE-2016-3484 | Cassaforte Database | Crea Sinonimo Pubblico | Oracle Net | No | 3.4 | Locale | Basso | Alto | Nessuno |
Per quanto riguarda gli altri prodotti Oracle, in 19 vulnerabilità corrette in 9 prodotti diversi hanno un punteggio di 9,8 da CVSS 3.0, tenendo presente ciò, per molti utenti sarà essenziale installare la patch.
Rilascio di MySQL 5.7.13
MySQL 5.7.13 è stato ufficialmente rilasciato a giugno. La nuova versione di MySQL Server ha un’interfaccia SQL per la gestione delle chiavi keyring, implementata come un set di funzioni definite dall’utente (UDF) che accedono alle funzioni fornite dal servizio interno keyring. Ecco le vulnerabilità di sicurezza corrette nella nuova versione:
CVE-2016-2106 (avviso OpenSSL, bassa gravità)Overflow del valore intero nella funzione EVP_EncryptUpdate in crypto/evp/evp_enc.c in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di causare un denial of service (corruzione della memoria heap) tramite una grande quantità di dati.
CVE-2016-2105 (avviso OpenSSL, bassa gravità)Overflow del valore intero nella funzione EVP_EncodeUpdate in crypto/evp/encode.c in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di causare un denial of service (corruzione della memoria heap) tramite una grande quantità di dati binari.
CVE-2016-2109 (avviso OpenSSL, bassa gravità)La funzione asn1_d2i_read_bio in crypto/asn1/a_d2i_fp.c nell’implementazione ASN.1 BIO in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di causare un denial of service (consumo della memoria) tramite una codifica non valida breve.
CVE-2016-2107 (avviso OpenSSL, alta gravità)L’implementazione AES-NI in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h non considera l’allocazione della memoria durante un certo controllo di padding, il che consente agli attaccanti remoti di ottenere informazioni sensibili di testo in chiaro tramite un attacco di padding-oracle in una sessione AES CBC, NOTA: questa vulnerabilità esiste a causa di una correzione errata per CVE-2013-0169.
CVE-2016-2176 (avviso OpenSSL, bassa gravità)La funzione X509_NAME_oneline in crypto/x509/x509_obj.c in OpenSSL prima delle versioni 1.0.1t e 1.0.2 prima di 1.0.2h consente agli attaccanti remoti di ottenere informazioni sensibili dalla memoria dello stack del processo o causare un denial of service (lettura eccessiva del buffer) tramite dati ASN.1 EBCDIC appositamente realizzati.
Altri Aggiornamenti
Greenplum Database 4.3.8.1 è un rilascio di manutenzione che non aggiunge nuove funzionalità, ma risolve alcuni problemi noti e include miglioramenti delle prestazioni e stabilità, utilità gpdbrestore, utilità gpcheckcat, utilità gpload, protocollo tabella esterna s3 e estensione MADlib.
La versione Alpha di MariaDB 10.2.1 è stata rilasciata a luglio. MariaDB 10.2 è un’evoluzione di MariaDB 10.1 con alcune nuove funzionalità che non si trovano altrove e con funzionalità reimplementate da MySQL 5.6 e 5.7. MariaDB 10.2.1 è in uno stato Alpha.
Il Gruppo di Sviluppo Globale di PostgreSQL ha annunciato che PostgreSQL 9.6 Beta 3 è disponibile per il download. Questo rilascio include anteprime di tutte le funzionalità che saranno disponibili nel rilascio finale della versione 9.6, inclusi i correttivi a molti dei problemi trovati negli beta precedenti. Il rilascio finale di PostgreSQL sarà alla fine del 2016.