DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Riepilogo sulla Sicurezza del Database – Dicembre 2016

Per tradizione, vi presentiamo i più massicci incidenti nel campo della sicurezza delle informazioni avvenuti a dicembre.

Alcune nuove informazioni sono emerse riguardo al famigerato hack del servizio Yahoo!Mail, collegato al secondo motore di ricerca più popolare al mondo. Ora stiamo parlando di 1 miliardo di account utente rubati. L’hacker (presumibilmente operatore statale legato alla violazione del 2014) ha ottenuto l’accesso al codice proprietario di Yahoo per falsificare i cookie.

È stato segnalato un hack contro una banca anonima della Russia. Finora non ci sono molte informazioni pubbliche sull’incidente, sappiamo solo che gli intrusi hanno rubato circa 1,4 milioni di dollari hackerando il sistema bancario centrale.

Il sito web di condivisione video Dailymotion ha subito una violazione dei dati. Sono stati compromessi 82,5 milioni di account utente, inclusi ID utente, email e password crittografate. Le password sono protette con l’algoritmo Bcrypt, che determinati attaccanti possono superare.

La società di fitness PayAsUGym è stata hackerata e ha compromesso i dati personali di 300.000 clienti. L’azienda sostiene che le password erano crittografate, ma ha utilizzato l’algoritmo MD5 screditato con hash non salati. Un altro esempio di atteggiamento irresponsabile nei confronti della sicurezza.

Il famoso hacker/pentester Kaputskiy ha violato il sito web dell’Assemblea Nazionale dell’Ecuador e ha rilasciato alcuni dati. All’inizio di questo mese, Kaputskiy con il suo amico Kasimierz L ha hackerato il sito ufficiale del Ministero dell’Industria argentino. Entrambi gli attacchi sono stati eseguiti sfruttando una vulnerabilità SQL injection.

Un grave attacco informatico è stato eseguito contro il gigante dell’acciaio tedesco ThyssenKrupp mirato a rubare il know-how tecnologico e le ricerche. L’individuazione tempestiva dell’attacco ha aiutato a prevenire conseguenze più gravi. L’indagine è in corso.

Sicurezza del Database

Di seguito sono riportate le vulnerabilità trovate a dicembre.

Oracle

CVE-2016-9013

Nelle versioni di Django precedenti a 1.8.16, 1.9.11 e 1.10.3 viene utilizzata una password hardcoded per un utente temporaneo del database creato durante l’esecuzione dei test del database Oracle. Lo sfruttamento rende più facile per un attaccante remoto ottenere l’accesso al server del database specificando una password nel dizionario delle impostazioni TEST del database.

Gravità CVSS: 9.8 Critico

MySQL

CVE-2016-6664

È stato menzionato nel riepilogo di ottobre e ora abbiamo più informazioni a riguardo.

Quando si utilizza la registrazione basata su file, consente agli utenti locali che hanno accesso all’account mysql di ottenere privilegi di root con l’aiuto di un attacco symlink sui log degli errori.

Gravità CVSS: 7.0 Alta

CVE-2016-6663

È stato menzionato anche nei riepiloghi precedenti.

Consente agli utenti locali con basse autorizzazioni di ottenere privilegi sfruttando l’uso della funzione my_copystat attraverso il comando REPAIR TABLE mirato a una tabella MyISAM.

Gravità CVSS: 7.0 Alta

CVE-2016-9864

Fornisce l’opportunità a un attaccante con un nome utente o un nome tabella appositamente creato di iniettare dichiarazioni SQL nella funzionalità di tracciamento che verrebbero eseguite con i privilegi dell’utente di controllo. Lo sfruttamento consente l’accesso in lettura e scrittura alle tabelle del database di archiviazione della configurazione, se l’utente di controllo dispone dei privilegi necessari, un attaccante può leggere alcune tabelle del database MySQL.

Gravità CVSS: 7.5 Alta

CVE-2016-6607

XSS emesso in phpMyAdmin. Il contenuto della colonna creata della ricerca Zoom può essere utilizzato per innescare un attacco XSS. Alcuni campi nell’editor GIS non sono correttamente gestiti, quindi possono essere utilizzati anche per un attacco XSS.

Gravità CVSS: 6.1 Media

MariaDB

CVE-2016-7740

Rende più facile per gli utenti locali scoprire le chiavi AES sfruttando le differenze di temporizzazione della cache-bank.

Gravità CVSS: 5.5 Media

Greenplum Database

CVE-2016-6656

Versioni affette: Pivotal Greenplum prima della 4.3.10.0

Comandi arbitrari possono essere iniettati nel sistema sfruttando la vulnerabilità nel processo di creazione di tabelle esterne utilizzando GPHDFS. Lo sfruttamento richiede l’accesso superutente ‘gpadmin’ al sistema o permessi di protocollo GPHDFS.

Gravità CVSS: 7.2 Alta

MySQL 5.6.35

Il nuovo rilascio contiene correzioni di bug noti, miglioramenti delle prestazioni e della sicurezza.

Le modifiche alla sicurezza includono:

  • Il comando chown ora può essere utilizzato solo quando la directory di destinazione è /var/log. Se la directory per il socket Unix manca, si verifica un errore. L’uso non sicuro dei comandi rm o chown nella sezione mysql_safe di un file di opzioni cng potrebbe portare a un’escalation dei privilegi.
  • Ora l’opzione –ledir non è accettata nei file di opzioni, solo sulla riga di comando.
  • Gli script di inizializzazione nella nuova versione creano il file di log degli errori, purché la directory di base sia /var/lib o /var/log.
  • Rimossi i file di sistema non utilizzati per SLES.
  • La crittografia Enterprise per MySQL Enterprise Edition consente ora agli amministratori del server di imporre limiti sulla lunghezza massima della chiave impostando variabili di ambiente. Queste possono essere utilizzate per impedire ai client di utilizzare risorse CPU eccessive passando lunghezze di chiavi molto lunghe alle operazioni di generazione delle chiavi.
  • Il plugin di controllo delle connessioni. Dopo un certo numero di tentativi consecutivi falliti di accesso agli account utente MySQL, il ritardo nella risposta del server aumenta. Il nuovo plugin è progettato per rallentare gli attacchi brute force.

Greenplum Database 4.3.11.0

Greenplum Database 4.3.11.0 include i seguenti miglioramenti:

  • Esecuzione delle query PQO migliorata
  • Annullo delle query migliorato
  • Esecuzione delle query dei hash aggregate migliorata
  • Gestione della memoria del database Greenplum migliorata
  • Gestione migliorata delle righe eliminate nelle tabelle persistenti
  • Ambiente di sviluppo PL/Java migliorato
  • gptransfer trasferisce dati da tabelle partizionate a tabelle non partizionate

Teradata Database 16.00

Teradata Database 16.00 ha molte nuove funzionalità e miglioramenti seguendo le categorie strategiche di Esecuzione Adattiva, Abilitazione Big Data & UDA, Prestazioni Estreme, Alta Disponibilità, Compatibilità Industriale, Qualità e Supportabilità, Semplicità e Facilità d’Uso. Puoi trovare note dettagliate sulla versione qui.

Per quanto riguarda la sicurezza, la nuova versione contiene i seguenti miglioramenti:

Autorizzazione LDAP leggera. Consente agli utenti di utilizzare il servizio di directory esistente per autorizzare gli utenti del database Teradata, senza necessità di modificare la directory per includere schemi, strutture e voci specifiche di Teradata. Funziona con server di directory conformi a LDAPv3 (LDAP e KRB5). Ha migliorato le prestazioni di accesso rispetto ai meccanismi di autorizzazione legacy.

Lo strumento tdgssauth è utilizzato per testare le configurazioni dei meccanismi di sicurezza TDGSS sui nodi del database Teradata e sui server Unity Director. Testa i fallimenti delle policy offline, l’autenticazione e l’autorizzazione corrette. Sebbene tdgssauth non possa testare i meccanismi Proxy, è uno strumento robusto per far rispettare la policy di sicurezza consentendo il debugging dal vivo senza causare l’interruzione dell’esecuzione del database.

Directory di installazione selezionabile dall’utente (USD). Viene utilizzata per stabilire connessioni sicure tra un client e un server con l’aiuto dell’interfaccia Teradata Generic Security Service (GSS). Ora la cartella o l’unità principale per l’installazione possono essere specificate dall’utente.

Riepilogo sulla Sicurezza del Database – Novembre
Riepilogo sulla Sicurezza del Database – Ottobre
Riepilogo sulla Sicurezza del Database – Settembre

Successivo

Riepilogo Sicurezza dei Database – Gennaio 2017

Riepilogo Sicurezza dei Database – Gennaio 2017

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]