Database Security Digest für März 2017
Letzten Monat veröffentlichte Gemalto die Ergebnisse ihrer Forschung zu Datenschutzverletzungen, die einen Anstieg von 86 % im Vergleich zu 2015 offenbarten. 1,4 Milliarden Datensätze wurden im Jahr 2016 kompromittiert. Um Sie über die neuesten Trends auf dem Laufenden zu halten, haben wir die Nachrichten des letzten Monats zu Zwischenfällen bei der Datenbanksicherheit, neuen Schwachstellen und Patches von Datenbankverwaltungssystemen zusammengestellt.
Cybersecurity Vorfälle
Nach der Welle von MongoDB-Angriffen, warnte das FBI vor dem Anstieg krimineller Aktivitäten, die auf FTP-Server abzielen, die von medizinischen und zahnmedizinischen Organisationen verwendet werden und die so konfiguriert sind, dass sie anonymen Zugriff ohne Authentifizierung ermöglichen. Administratoren sollten sicherstellen, dass EPHI (elektronisch geschützte Gesundheitsinformationen) oder PII (personenbezogene Daten) nicht auf FTP-Servern gespeichert werden, auf denen der anonyme Modus aktiviert ist.
Im Hinblick auf den berüchtigten Yahoo!-Mega-Datenverlust, erheben die USA Anklage gegen zwei russische Geheimdienstagenten und zwei russische Hacker. Einer der angeklagten Männer wurde in Kanada verhaftet. Die Anklageschrift behauptet, dass Beamte des FSB-Zentrums für Informationssicherheit mit Cyberkriminellen kooperierten, um in das Yahoo!-Netzwerk einzudringen und Kontoinformationen sowie proprietäre Daten über die Erstellung von Cookies zu erhalten, die für den Zugriff auf Yahoo!-Konten verwendet werden. Laut Anklage bestand das Ziel des Angriffs nicht nur in der Informationsbeschaffung, sondern auch im privaten finanziellen Gewinn. In der Zwischenzeit werden auf dem Dark Web eine Million Yahoo!- und Gmail-Konto-Passwörter zum Verkauf angeboten.
Neiman Marcus hat zugestimmt, 1,6 Millionen Dollar zur Beilegung eines Datenverstoßes zu zahlen. Im Dezember 2013 wurde das amerikanische Luxus-Kaufhaus Neiman Marcus angegriffen, wodurch Kreditkarteninformationen von 350.000 Kunden offengelegt wurden. Jetzt muss das Unternehmen ein Vermögen zahlen aufgrund der Nichteinhaltung der Cybersicherheitsgesetzgebung.
ABTA, die Reisebranche-Vereinigung, die Reisebüros und Reiseveranstalter in Großbritannien vertritt, hat Benutzer über einen Datenverstoß informiert. 43.000 seiner Kunden sollen betroffen sein. Gestohlene Daten umfassen E-Mail-Adressen, verschlüsselte Passwörter von ABTA-Kunden, Kontaktdaten von Kunden von ABTA-Mitgliedern, die die Website zur Registrierung einer Beschwerde verwendet haben. Laut ABTA waren die meisten Passwörter verschlüsselt und das Risiko von Identitätsdiebstahl und Online-Betrug ist gering.
Datenbanksicherheit
In der letzten Woche im März kündigte Percona die Veröffentlichung von Percona Server 5.7.17-12 an, basierend auf MySQL 5.7.17.
Das Release enthält Fehler- und Absturzbehebungen und es gibt ein neues mysqldump-Feature, das hilft, Server zu sichern und Dump-Dateien neu zu laden. Das Feature stellte sich jedoch als anfällig heraus, was weiter unten erwähnt wird.
CVE-2016-5483
Eine Schwachstelle in der mysqldump-Utility von MySQL, die zur Erstellung logischer Backups von Datenbanken verwendet wird. CVE-2016-5483 ermöglicht einem Angreifer SQL-Abfragen und Shell-Kommandos auszuführen, wenn ein Backup mit der mysqldump-Utility wiederhergestellt wird. Um die Schwachstelle auszunutzen, muss ein Angreifer über Rechte zum Erstellen von Tabellen verfügen.
MariaDB 10.1.22
Abgesehen von der Behebung einiger bekannter Probleme werden durch das neue MariaDB-Release zwei Sicherheitslücken gepatcht:
CVE-2017-3313CVSS-Schweregrad: 4.7
Eine lokal ausnutzbare Schwachstelle im MySQL-Server (MyISAM-Subkomponente). Eine schwer ausnutzbare Schwachstelle, die einem Angreifer mit niedrigen Rechten und der Möglichkeit, sich an der Infrastruktur, auf der der MySQL-Server läuft, anzumelden, ermöglicht, den MySQL-Server zu kompromittieren. Ein erfolgreicher Angriff kann zu unbefugtem Zugriff auf kritische Daten oder vollständigem Zugriff auf alle vom MySQL-Server zugänglichen Daten führen.
CVE-2017-3302CVSS-Schweregrad: 7.5
Eine remote ausnutzbare Schwachstelle, die eine Störung des Dienstes durch Absturz in libmysqlclient.so ermöglicht. Betroffene Versionen: MariaDB bis 5.5.54 und 10.0.29, Oracle MySQL vor 5.6.21 und 5.7.5.
Neue Sicherheitslücken
CVSS-Schweregrad: 5.9
Eine weitere Schwachstelle wurde in xbcrypt in Percona XtraBackup vor 2.3.6 und 2.4.x vor 2.4.5 gefunden. Sie existiert aufgrund einer unvollständigen Behebung für CVE-2013-6394. Das xbcrypt Tool unterstützt die Verschlüsselung und Entschlüsselung der Backups. Es hat sich herausgestellt, dass es den Initialisierungsvektor (IV) für die Verschlüsselung nicht ordnungsgemäß festlegt, wodurch kontextabhängige Angreifer sensible Daten aus verschlüsselten Backup-Dateien über einen Gewählte-Klartext-Angriff erhalten können. Die Schwachstelle ist remote ausnutzbar.
CVSS-Schweregrad: 3.1
Eine neu entdeckte Schwachstelle in IBM DB2 ermöglicht es einem authentifizierten Angreifer, Tabellen einzusehen, die er nicht sehen darf. Die Schwachstelle ist remote ausnutzbar und erfordert Authentifizierung.
SAP HANA Sicherheits-Patch
SAP hat eine Reihe kritischer Schwachstellen in seiner cloudbasierten Business-Plattform HANA gepatcht. Wenn sie ausgenutzt werden, könnten sie zu einer vollständigen Systemkompromittierung ohne Authentifizierung führen. Ein Angreifer könnte vertrauliche Daten in der Datenbank stehlen, Schlüsselprozesse unterbrechen und HTML-Code für auf HANA XS laufende Websites modifizieren, sogar ohne einen legitimen Benutzernamen oder Passwort zu haben.
Diese Schwachstellen betreffen die Benutzer-Self-Service (USS)-Komponente, die eine Selbstregistrierung der Benutzer, Passwortänderung und -zurücksetzung ermöglicht. Der Dienst ist standardmäßig deaktiviert, aber einige Benutzer aktivieren ihn, um externen Benutzern den Zugang zu internen Funktionen zu ermöglichen.
Die Schwachstelle in USS wird von CVSS mit 9.8 bewertet, was es einem entfernten Angreifer ermöglicht, die vollständige Kontrolle über SAP HANA ohne Benutzernamen und Passwort zu übernehmen. Es wird dringend empfohlen, den Dienst zu deaktivieren oder den Patch zu anwenden.
Eine weitere, die Fixierung der Sitzungsschwachstelle (8.8 CVSS), ermöglicht einem Angreifer, durch Nachahmung eines anderen Benutzers im System Privilegien zu erweitern.
Das März-Sicherheits-Patch enthält auch Korrekturen für DoS-, Remote-Code-Ausführungs-, XSS- und SQL-Injection-Schwachstellen einiger Komponenten. SAP-Entwickler empfehlen, HANA-Datenbanken so schnell wie möglich zu patchen.
Database Security Digest – FebruarDatabase Security Digest – Januar
Database Security Digest – Dezember
