DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Digest di Sicurezza dei Database – Ottobre 2016

Il mese scorso è stato relativamente tranquillo considerando una serie di violazioni dei dati di grandi dimensioni nei mesi precedenti.

Un hacker chiamato Guccifer 2.0, già noto per aver divulgato documenti legittimi di organizzazioni politiche, ha esposto file della Clinton Foundation. Ha scritto che era solo questione di tempo, poiché il personale della Clinton Foundation non si era preoccupato della sicurezza delle informazioni.

I Modern Business Systems hanno subito una violazione di 58 account utente, coinvolgendo nomi di clienti, indirizzi postali, e-mail e IP, numeri di telefono. La società di sviluppo giochi Evony Gaming ha compromesso 33 milioni di account con nomi utente, password e indirizzi email.

Nuove vulnerabilità di MySQL

Sono state scoperte due gravi vulnerabilità di escalation dei privilegi in MySQL e nei suoi fork MariaDB, PerconaDB. Gli sviluppatori hanno già rilasciato aggiornamenti che affrontano queste vulnerabilità. CVE-2016-6663 e CVE-2016-6664 (tracciati da Oracle rispettivamente come CVE-2016-5616 e CVE-2016-5617).

CVE-2016-6663 facilita lo sfruttamento di CVE-2016-6662. È una condizione di gara che consente agli utenti con privilegi bassi di scalare i privilegi ed eseguire codice arbitrario come utente del sistema del database. Può essere sfruttato da attaccanti che riescono a trovare una vulnerabilità in un sito web e ottenere l’accesso al sistema target come utente con privilegi bassi. Può anche essere utilizzato in un ambiente di hosting condiviso dove ogni utente può accedere solo a un certo database.

Secondo l’esperto che ha rilevato il difetto, CVE-2016-6663 può essere utilizzato insieme a CVE-2016-6662 o CVE-2016-6664 per ottenere privilegi di root e compromettere l’intero sistema target. L’exploit è liberamente disponibile nel dominio pubblico, c’è anche un video che mostra come deve essere fatto. Con questo in mente, gli utenti delle piattaforme interessate dovrebbero eseguire la patch il prima possibile.

Le vulnerabilità riguardano le versioni di Oracle MySQL 5.5.51, 5.6.32, 5.7.14 e precedenti. L’aggiornamento critico di ottobre risolve entrambi i problemi. Percona ha annunciato di aver aggiornato Percona Server per affrontare le vulnerabilità sopra citate. MariaDB ha risolto CVE-2016-6663 e ha lasciato CVE-2016-6664 fino al prossimo rilascio di manutenzione, sostenendo che non è sfruttabile da solo.

Correzioni di Oracle

Oracle ha annunciato il rilascio di un Aggiornamento Critico della Patch il 18 ottobre, eliminando 253 vulnerabilità in varie piattaforme. Per quanto riguarda Oracle Database Server, ha 12 correzioni di sicurezza. Una delle vulnerabilità può essere sfruttata a distanza senza richiedere credenziali utente.

CVE#ComponentePacchetto e/o Privilegi richiestiProtocolloSfruttabile da remoto senza autenticazione?Punteggio di baseVettore di attaccoPrivilegi richiesti
CVE-2016-5555OJVMCrea sessione, Crea proceduraMultiploNo9.1ReteAlto
CVE-2016-5572Kernel PDBCrea sessioneOracle NetNo6.4LocaleAlto
CVE-2016-5497Sicurezza RDBMSCrea sessioneOracle NetNo6.4LocaleAlto
CVE-2010-5312Applicazione ExpressNessunoHTTP6.1ReteNessuno
CVE-2016-5516Kernel PDBEsegui su DBMS_PDB_EXEC_SQLOracle NetNo6.0LocaleAlto
CVE-2016-5505Interfaccia Programmabile RDBMSCrea sessioneOracle NetNo5.5LocaleBasso
CVE-2016-5498Sicurezza RDBMSCrea sessioneOracle NetNo3.3LocaleBasso
CVE-2016-5499Sicurezza RDBMSCrea sessioneOracle NetNo3.3LocaleBasso
CVE-2016-3562Sicurezza RDBMS e SQL*PlusAccount privilegiato a livello di DBAOracle NetNo2.4ReteAlto

Oracle MySQL

31 correzioni di sicurezza per Oracle MySQL in questo aggiornamento. 2 di esse possono essere sfruttate a distanza senza autenticazione.

CVE#ComponenteSub-componenteProtocolloSfruttabile da remoto senza autenticazione?Punteggio di baseVettore di attacco Privilegi richiesti 
CVE-2016-6304Server MySQLServer: Sicurezza: CrittografiaProtocollo MySQL7.5ReteNessuno
CVE-2016-6662Server MySQLServer: LoggingNessunoNo7.2LocaleAlto
CVE-2016-5617Server MySQLServer: Gestione degli ErroriNessunoNo7.0LocaleBasso
CVE-2016-5616Server MySQLServer: MyISAMNessunoNo7.0LocaleBasso
CVE-2016-5625Server MySQLServer: PackagingNessunoNo7.0LocaleBasso
CVE-2016-5609Server MySQLServer: DMLProtocollo MySQLNo6.5ReteBasso
CVE-2016-5612Server MySQLServer: DMLProtocollo MySQLNo6.5ReteBasso
CVE-2016-5624Server MySQLServer: DMLProtocollo MySQLNo6.5ReteBasso
CVE-2016-5626Server MySQLServer: GISProtocollo MySQLNo6.5ReteBasso
CVE-2016-5627Server MySQLServer: InnoDBProtocollo MySQLNo6.5ReteBasso
CVE-2016-3492Server MySQLServer: OttimizzatoreProtocollo MySQLNo6.5ReteBasso
CVE-2016-5598Connettore MySQLConnettore/PythonProtocollo MySQL5.6ReteNessuno
CVE-2016-7440Server MySQLServer: Sicurezza: CrittografiaNessunoNo5.1LocaleNessuno
CVE-2016-5628Server MySQLServer: DMLProtocollo MySQLNo4.9ReteAlto
CVE-2016-5629Server MySQLServer: FederatoProtocollo MySQLNo4.9ReteAlto
CVE-2016-3495Server MySQLServer: InnoDBProtocollo MySQLNo4.9ReteAlto
CVE-2016-5630Server MySQLServer: InnoDBProtocollo MySQLNo4.9ReteAlto
CVE-2016-5507Server MySQLServer: InnoDBProtocollo MySQLNo4.9ReteAlto
CVE-2016-5631Server MySQLServer: MemcachedProtocollo MySQLNo4.9ReteAlto
CVE-2016-5632Server MySQLServer: OttimizzatoreProtocollo MySQLNo4.9ReteAlto
CVE-2016-5633Server MySQLServer: Schema delle PrestazioniProtocollo MySQLNo4.9ReteAlto
CVE-2016-5634Server MySQLServer: RBRProtocollo MySQLNo4.9ReteAlto
CVE-2016-5635Server MySQLServer: Sicurezza: AuditProtocollo MySQLNo4.9ReteAlto
CVE-2016-8289Server MySQLServer: InnoDBNessunoNo4.7LocaleAlto
CVE-2016-8287Server MySQLServer: ReplicaProtocollo MySQLNo4.5ReteAlto
CVE-2016-8290Server MySQLServer: Schema delle PrestazioniProtocollo MySQLNo4.4ReteAlto
CVE-2016-5584Server MySQLServer: Sicurezza: CrittografiaProtocollo MySQLNo4.4ReteAlto
CVE-2016-8283Server MySQLServer: TipiProtocollo MySQLNo4.3ReteBasso
CVE-2016-8288Server MySQLServer: Plugin InnoDBProtocollo MySQLNo3.1ReteBasso
CVE-2016-8286Server MySQLServer: Sicurezza: PrivilegiProtocollo MySQLNo3.1ReteBasso
CVE-2016-8284Server MySQLServer: ReplicaNessunoNo1.8LocaleAlto

Database Greenplum 4.3.10.0

L’aggiornamento introduce tabelle scrivibili S3, risolve problemi noti e include alcuni miglioramenti e modifiche.

Specificare una tabella esterna con protocollo gphdfs con simboli \, ‘, <, > era una potenziale vulnerabilità di sicurezza. Il problema è stato risolto.

MariaDB 10.0.28

La nuova versione include aggiornamenti per XtraDB, TokuDB, Innodb, Schema delle Prestazioni e correzioni per una serie di vulnerabilità di sicurezza:

CVE-2016-5616  (CVE-2016-6663 di Oracle)
Consente agli utenti locali di influenzare la riservatezza, l’integrità e la disponibilità attraverso vettori relativi a Server: MyISAM.
Punteggio CVSS: 7.0

CVE-2016-5624
Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a DML.
Punteggio CVSS: 6.5

CVE-2016-5626
Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a GIS.

Punteggio CVSS: 6.5

CVE-2016-3492
Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a Server: Ottimizzatore.
Punteggio CVSS: 6.5

CVE-2016-5629
Consente agli amministratori remoti di influenzare la disponibilità attraverso vettori relativi a Server: Federato.
Punteggio CVSS: 4.9

CVE-2016-8283
Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a Server: Tipi.
Punteggio CVSS: 4.3

CVE-2016-7440 – vulnerabilità non specificata.

CVE-2016-5584
Consente agli amministratori remoti di influenzare la riservatezza attraverso vettori relativi a Server: Sicurezza: Crittografia.
Punteggio CVSS: 4.4

MySQL 5.6.34

Il nuovo rilascio contiene miglioramenti della sicurezza riguardanti la variabile di sistema secure_file_priv, che è utilizzata per limitare l’effetto delle operazioni di importazione ed esportazione dei dati. Ora può essere impostato su NULL per disabilitare tutte le operazioni di import/export. Il server ora controlla il valore di secure_file_priv all’avvio e registra un avviso nel log degli errori se il valore è insicuro.
Precedentemente la variabile di sistema secure_file_priv era vuota per impostazione predefinita. Ora il valore predefinito è impostato secondo il valore dell’opzione INSTALL_LAYOUT di CMake.
Puoi trovare informazioni più dettagliate nelle note di rilascio.

Percona Server 5.7.15-9

Basato su MySQL 5.7.15, includendo tutte le correzioni dei bug, Percona Server 5.7.14-8 è il rilascio GA (Generalmente Disponibile) corrente nella serie Percona Server 5.7.
L’aggiornamento contiene una serie di correzioni di bug, inclusa la correzione delle perdite di thread slave che avvenivano in caso di fallimento nella creazione di thread. Anche le perdite di memoria nel Plugin di Log di Audit sono state eliminate.

Digest di Sicurezza dei Database – Settembre
Digest di Sicurezza dei Database – Agosto
Digest di Sicurezza dei Database – Giugno-Luglio

Successivo

Rassegna sulla Sicurezza del Database – Novembre 2016

Rassegna sulla Sicurezza del Database – Novembre 2016

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]