Digest di Sicurezza dei Database – Ottobre 2016
Il mese scorso è stato relativamente tranquillo considerando una serie di violazioni dei dati di grandi dimensioni nei mesi precedenti.
Un hacker chiamato Guccifer 2.0, già noto per aver divulgato documenti legittimi di organizzazioni politiche, ha esposto file della Clinton Foundation. Ha scritto che era solo questione di tempo, poiché il personale della Clinton Foundation non si era preoccupato della sicurezza delle informazioni.
I Modern Business Systems hanno subito una violazione di 58 account utente, coinvolgendo nomi di clienti, indirizzi postali, e-mail e IP, numeri di telefono. La società di sviluppo giochi Evony Gaming ha compromesso 33 milioni di account con nomi utente, password e indirizzi email.
Nuove vulnerabilità di MySQL
Sono state scoperte due gravi vulnerabilità di escalation dei privilegi in MySQL e nei suoi fork MariaDB, PerconaDB. Gli sviluppatori hanno già rilasciato aggiornamenti che affrontano queste vulnerabilità. CVE-2016-6663 e CVE-2016-6664 (tracciati da Oracle rispettivamente come CVE-2016-5616 e CVE-2016-5617).
CVE-2016-6663 facilita lo sfruttamento di CVE-2016-6662. È una condizione di gara che consente agli utenti con privilegi bassi di scalare i privilegi ed eseguire codice arbitrario come utente del sistema del database. Può essere sfruttato da attaccanti che riescono a trovare una vulnerabilità in un sito web e ottenere l’accesso al sistema target come utente con privilegi bassi. Può anche essere utilizzato in un ambiente di hosting condiviso dove ogni utente può accedere solo a un certo database.
Secondo l’esperto che ha rilevato il difetto, CVE-2016-6663 può essere utilizzato insieme a CVE-2016-6662 o CVE-2016-6664 per ottenere privilegi di root e compromettere l’intero sistema target. L’exploit è liberamente disponibile nel dominio pubblico, c’è anche un video che mostra come deve essere fatto. Con questo in mente, gli utenti delle piattaforme interessate dovrebbero eseguire la patch il prima possibile.
Le vulnerabilità riguardano le versioni di Oracle MySQL 5.5.51, 5.6.32, 5.7.14 e precedenti. L’aggiornamento critico di ottobre risolve entrambi i problemi. Percona ha annunciato di aver aggiornato Percona Server per affrontare le vulnerabilità sopra citate. MariaDB ha risolto CVE-2016-6663 e ha lasciato CVE-2016-6664 fino al prossimo rilascio di manutenzione, sostenendo che non è sfruttabile da solo.
Correzioni di Oracle
Oracle ha annunciato il rilascio di un Aggiornamento Critico della Patch il 18 ottobre, eliminando 253 vulnerabilità in varie piattaforme. Per quanto riguarda Oracle Database Server, ha 12 correzioni di sicurezza. Una delle vulnerabilità può essere sfruttata a distanza senza richiedere credenziali utente.
CVE# | Componente | Pacchetto e/o Privilegi richiesti | Protocollo | Sfruttabile da remoto senza autenticazione? | Punteggio di base | Vettore di attacco | Privilegi richiesti |
CVE-2016-5555 | OJVM | Crea sessione, Crea procedura | Multiplo | No | 9.1 | Rete | Alto |
CVE-2016-5572 | Kernel PDB | Crea sessione | Oracle Net | No | 6.4 | Locale | Alto |
CVE-2016-5497 | Sicurezza RDBMS | Crea sessione | Oracle Net | No | 6.4 | Locale | Alto |
CVE-2010-5312 | Applicazione Express | Nessuno | HTTP | Sì | 6.1 | Rete | Nessuno |
CVE-2016-5516 | Kernel PDB | Esegui su DBMS_PDB_EXEC_SQL | Oracle Net | No | 6.0 | Locale | Alto |
CVE-2016-5505 | Interfaccia Programmabile RDBMS | Crea sessione | Oracle Net | No | 5.5 | Locale | Basso |
CVE-2016-5498 | Sicurezza RDBMS | Crea sessione | Oracle Net | No | 3.3 | Locale | Basso |
CVE-2016-5499 | Sicurezza RDBMS | Crea sessione | Oracle Net | No | 3.3 | Locale | Basso |
CVE-2016-3562 | Sicurezza RDBMS e SQL*Plus | Account privilegiato a livello di DBA | Oracle Net | No | 2.4 | Rete | Alto |
Oracle MySQL
31 correzioni di sicurezza per Oracle MySQL in questo aggiornamento. 2 di esse possono essere sfruttate a distanza senza autenticazione.
CVE# | Componente | Sub-componente | Protocollo | Sfruttabile da remoto senza autenticazione? | Punteggio di base | Vettore di attacco | Privilegi richiesti |
CVE-2016-6304 | Server MySQL | Server: Sicurezza: Crittografia | Protocollo MySQL | Sì | 7.5 | Rete | Nessuno |
CVE-2016-6662 | Server MySQL | Server: Logging | Nessuno | No | 7.2 | Locale | Alto |
CVE-2016-5617 | Server MySQL | Server: Gestione degli Errori | Nessuno | No | 7.0 | Locale | Basso |
CVE-2016-5616 | Server MySQL | Server: MyISAM | Nessuno | No | 7.0 | Locale | Basso |
CVE-2016-5625 | Server MySQL | Server: Packaging | Nessuno | No | 7.0 | Locale | Basso |
CVE-2016-5609 | Server MySQL | Server: DML | Protocollo MySQL | No | 6.5 | Rete | Basso |
CVE-2016-5612 | Server MySQL | Server: DML | Protocollo MySQL | No | 6.5 | Rete | Basso |
CVE-2016-5624 | Server MySQL | Server: DML | Protocollo MySQL | No | 6.5 | Rete | Basso |
CVE-2016-5626 | Server MySQL | Server: GIS | Protocollo MySQL | No | 6.5 | Rete | Basso |
CVE-2016-5627 | Server MySQL | Server: InnoDB | Protocollo MySQL | No | 6.5 | Rete | Basso |
CVE-2016-3492 | Server MySQL | Server: Ottimizzatore | Protocollo MySQL | No | 6.5 | Rete | Basso |
CVE-2016-5598 | Connettore MySQL | Connettore/Python | Protocollo MySQL | Sì | 5.6 | Rete | Nessuno |
CVE-2016-7440 | Server MySQL | Server: Sicurezza: Crittografia | Nessuno | No | 5.1 | Locale | Nessuno |
CVE-2016-5628 | Server MySQL | Server: DML | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5629 | Server MySQL | Server: Federato | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-3495 | Server MySQL | Server: InnoDB | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5630 | Server MySQL | Server: InnoDB | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5507 | Server MySQL | Server: InnoDB | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5631 | Server MySQL | Server: Memcached | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5632 | Server MySQL | Server: Ottimizzatore | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5633 | Server MySQL | Server: Schema delle Prestazioni | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5634 | Server MySQL | Server: RBR | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-5635 | Server MySQL | Server: Sicurezza: Audit | Protocollo MySQL | No | 4.9 | Rete | Alto |
CVE-2016-8289 | Server MySQL | Server: InnoDB | Nessuno | No | 4.7 | Locale | Alto |
CVE-2016-8287 | Server MySQL | Server: Replica | Protocollo MySQL | No | 4.5 | Rete | Alto |
CVE-2016-8290 | Server MySQL | Server: Schema delle Prestazioni | Protocollo MySQL | No | 4.4 | Rete | Alto |
CVE-2016-5584 | Server MySQL | Server: Sicurezza: Crittografia | Protocollo MySQL | No | 4.4 | Rete | Alto |
CVE-2016-8283 | Server MySQL | Server: Tipi | Protocollo MySQL | No | 4.3 | Rete | Basso |
CVE-2016-8288 | Server MySQL | Server: Plugin InnoDB | Protocollo MySQL | No | 3.1 | Rete | Basso |
CVE-2016-8286 | Server MySQL | Server: Sicurezza: Privilegi | Protocollo MySQL | No | 3.1 | Rete | Basso |
CVE-2016-8284 | Server MySQL | Server: Replica | Nessuno | No | 1.8 | Locale | Alto |
Database Greenplum 4.3.10.0
L’aggiornamento introduce tabelle scrivibili S3, risolve problemi noti e include alcuni miglioramenti e modifiche.
Specificare una tabella esterna con protocollo gphdfs con simboli \, ‘, <, > era una potenziale vulnerabilità di sicurezza. Il problema è stato risolto.
MariaDB 10.0.28
La nuova versione include aggiornamenti per XtraDB, TokuDB, Innodb, Schema delle Prestazioni e correzioni per una serie di vulnerabilità di sicurezza:
CVE-2016-5616 (CVE-2016-6663 di Oracle) Consente agli utenti locali di influenzare la riservatezza, l’integrità e la disponibilità attraverso vettori relativi a Server: MyISAM. Punteggio CVSS: 7.0
CVE-2016-5624 Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a DML. Punteggio CVSS: 6.5
CVE-2016-5626 Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a GIS.
Punteggio CVSS: 6.5CVE-2016-3492 Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a Server: Ottimizzatore. Punteggio CVSS: 6.5
CVE-2016-5629 Consente agli amministratori remoti di influenzare la disponibilità attraverso vettori relativi a Server: Federato. Punteggio CVSS: 4.9
CVE-2016-8283 Consente agli utenti remoti autenticati di influenzare la disponibilità attraverso vettori relativi a Server: Tipi. Punteggio CVSS: 4.3
CVE-2016-7440 – vulnerabilità non specificata.
CVE-2016-5584 Consente agli amministratori remoti di influenzare la riservatezza attraverso vettori relativi a Server: Sicurezza: Crittografia. Punteggio CVSS: 4.4
MySQL 5.6.34
Il nuovo rilascio contiene miglioramenti della sicurezza riguardanti la variabile di sistema secure_file_priv, che è utilizzata per limitare l’effetto delle operazioni di importazione ed esportazione dei dati. Ora può essere impostato su NULL per disabilitare tutte le operazioni di import/export. Il server ora controlla il valore di secure_file_priv all’avvio e registra un avviso nel log degli errori se il valore è insicuro. Precedentemente la variabile di sistema secure_file_priv era vuota per impostazione predefinita. Ora il valore predefinito è impostato secondo il valore dell’opzione INSTALL_LAYOUT di CMake. Puoi trovare informazioni più dettagliate nelle note di rilascio.
Percona Server 5.7.15-9
Basato su MySQL 5.7.15, includendo tutte le correzioni dei bug, Percona Server 5.7.14-8 è il rilascio GA (Generalmente Disponibile) corrente nella serie Percona Server 5.7. L’aggiornamento contiene una serie di correzioni di bug, inclusa la correzione delle perdite di thread slave che avvenivano in caso di fallimento nella creazione di thread. Anche le perdite di memoria nel Plugin di Log di Audit sono state eliminate.
Digest di Sicurezza dei Database – Settembre Digest di Sicurezza dei Database – Agosto Digest di Sicurezza dei Database – Giugno-Luglio