DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Database Security Digest – Settembre 2016

Attività di Hacking

Settembre sarà ricordato per una serie di attacchi e per il più grande attacco DDoS nella storia con un traffico di 620GBps. Come affermano gli specialisti di Akamai Technologies, non hanno mai visto una botnet di tale capacità prima d’ora. Sembra che gli attaccanti DDoS non stiano con le mani in mano, stanno portando il livello a un grado superiore.

Il mese scorso il gruppo Fancy Bear ha nuovamente hackerato l’Agenzia Mondiale Antidoping (WADA). Il precedente attacco era stato effettuato sfruttando SQL-injection, ma questo – tramite il dirottamento di account. I dati sensibili rubati e pubblicati contengono informazioni mediche sugli atleti, che hanno già portato a una serie di scandali a causa della dissimulazione di dati veritieri da parte dell’agenzia.

Tra gli altri eventi notevoli ci sono fughe di dati massive: Rambler (100 milioni di account), Last.fm (43 milioni di account), QIP.ru (33 milioni di account). E Yahoo detiene il record – 500 milioni di account!

Yahoo! è stata compromessa da un team professionale di hacker, che ha utilizzato l’ingegneria sociale per scegliere bersagli tra i dipendenti della società e inviare loro email o messaggi di chat contenenti malware. Successivamente hanno effettuato del phishing per acquisire le password di altri membri dell’azienda. Dopodiché, gli hacker hanno ottenuto l’accesso a informazioni sensibili. L’intera operazione ha richiesto più di 2 anni.

I dati rubati contengono nomi di account Yahoo mail, indirizzi email, date di nascita, numeri di telefono e password criptate insieme a domande e risposte di sicurezza criptate e non criptate che possono aiutare a entrare in altri account delle vittime. Yahoo raccomanda agli utenti colpiti di cambiare le password come precauzione perché gli account sono offerti in vendita online.

Sicurezza del Database

Due nuove exploit sono apparse su www.exploit-db.com per MySQL e suoi derivati. La prima riguarda la divulgazione delle credenziali locali per MySQL 5.5.45 su Windows (x64). La seconda è l’exploit del famigerato CVE-2016-6662 su MySQL/MarinaDB/PerconaDB. Può essere utilizzata per l’esecuzione di codice e l’elevazione dei privilegi.

Come di consueto, l’enorme flusso di vulnerabilità pubblicate arriva solo con l’aggiornamento critico delle patch di Oracle nella seconda metà di ottobre. Questo mese ci sono state due CVE per Oracle MySQL.

CVE-2016-5444
Versioni affette: Oracle MySQL 5.5.48, 5.6.29, 5.7.11 e precedenti; MariaDB prima di 10.0.25, 10.1.14
Riepilogo: Vulnerabilità non specificata che consente agli attaccanti remoti di influire sulla riservatezza tramite vettori relativi al server: Connessione.
Gravità CVSS: 3.7 – BASSO

CVE-2016-6662
Versioni affette: Oracle MySQL 5.5.52, 5.6.33, 5.7.15 e precedenti; MariaDB prima di 5.5.51, 10.0.27 e 10.1.17; Percona Server prima di 5.5.51-38.1, 5.6.32-78.0, 5.7.14-7
Riepilogo: Consente agli utenti locali di creare configurazioni arbitrarie e bypassare alcuni meccanismi di protezione impostando general_log_file su una configurazione my.cnf. Questo può essere sfruttato per eseguire codice arbitrario con privilegi di root impostando malloc_lib.
Gravità CVSS: 8.8 – ALTA

MySQL

Nella digest del mese scorso abbiamo menzionato CVE-2016-6662. Il problema è stato risolto in MySQL 5.7.15. Aggiorna il tuo DBMS, se usi ancora la versione affetta, poiché l’exploit per questa vulnerabilità è già disponibile.

MariaDB

MariaDB 10.1.18 è stata rilasciata il mese scorso. Essa corregge un numero di bug noti e crash. Dalla versione 10.1.17 anche CVE-2016-6662 è stato risolto.
Inoltre, è stata rilasciata la versione beta di MariaDB 10.2.2. Contiene nuove funzioni di finestra (LEAD, LAG, NTH_VALUE, FIRST_VALUE, LAST_VALUE), correzioni di bug e altri miglioramenti rispetto alla versione precedente.

Greenplum Database 4.3.9.1

Il rilascio di manutenzione risolve alcuni problemi noti e include miglioramenti delle prestazioni e stabilità, utilità gpdbstore, utilità gpcheckcat, utilità gpload, protocollo esterno della tabella s3, miglioramenti all’estensione MADlib.

PostgreSQL

PostgreSQL 9.6 è stato rilasciato. Sono stati apportati notevoli miglioramenti delle prestazioni, soprattutto nell’area della scalabilità su server multi-socket CPU. Altri cambiamenti includono:

  • Evita la scansione delle pagine non necessaria durante le operazioni di vacuum freeze
  • Esecuzione parallela di scansioni sequenziali, join e aggregate
  • La replicazione ora supporta server di standby sincrono simultanei multipli
  • postgres_fdw ora supporta join remoti, ordinamenti, aggiornamenti e cancellazioni
  • La ricerca full-text può ora cercare frasi (più parole adiacenti)

Per quanto riguarda la sicurezza, nella nuova versione i join di tabelle esterne vengono eseguiti a distanza solo quando le tabelle sono accessibili sotto lo stesso ID di ruolo. In precedenza la questione della sicurezza durante questo processo era lasciata ai singoli wrapper di dati esterni (FDW). Ciò rendeva facile per FDW creare involontariamente falle di sicurezza.

Le vecchie versioni contenevano controlli cablati che generavano un messaggio di errore se venivano chiamati da un non-superuser. Questo portava all’uso di ruoli di superuser per compiti relativamente di basso livello. I controlli degli errori sono ora sostituiti da un più conveniente initdb revoca del privilegio di ESECUZIONE su queste funzioni. Ciò consente alle installazioni di scegliere di concedere l’uso delle funzioni a ruoli fidati che non necessitano di tutti i privilegi di superuser.

Inoltre, c’è una nuova opportunità di creare ruoli integrati (pg_signal_backend). Possono essere utilizzati per accedere a funzioni che in precedenza erano esclusivamente riservate ai superuser.

DataSunrise supporta tutti i principali database e data warehouse come Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata e altro ancora. Sei il benvenuto a scaricare una prova gratuita se desideri installarlo sui tuoi server. Nel caso tu sia un utente cloud e gestisca il tuo database su Amazon AWS o Microsoft Azure, puoi ottenerlo da AWS market place o Azure market place.

Database Security Digest – Agosto

Database Security Digest – Giugno-Luglio

Successivo

Digest di Sicurezza dei Database – Ottobre 2016

Digest di Sicurezza dei Database – Ottobre 2016

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]