Datenbanksicherheits-Digest – Oktober 2016
Der letzte Monat war relativ ruhig, wenn man bedenkt, dass es in den letzten Monaten mehrere große Datenverstöße gab.
Ein Hacker namens Guccifer 2.0, der bereits für das Lecken legitimer Dokumente politischer Organisationen bekannt ist, hat die Dateien der Clinton-Stiftung freigelegt. Er schrieb, dass es nur eine Frage der Zeit war, da sich das Personal der Clinton-Stiftung nicht um die Informationssicherheit kümmerte.
Modern Business Systems hatte einen Verstoß von 58 Benutzerkonten, der Kundennamen, Post-, E-Mail- und IP-Adressen, Telefonnummern involvierte. Die Spieleentwicklungsfirma Evony Gaming kompromittierte 33 Millionen Konten mit Benutzernamen, Passwörtern und E-Mail-Adressen.
Neue MySQL-Fehler
Zwei schwerwiegende Privilegieneskalations-Schwachstellen wurden in MySQL und seine Abzweigungen MariaDB, PerconaDB gefunden. Die Entwickler haben bereits Updates herausgegeben, um die Fehler zu beheben. CVE-2016-6663 und CVE-2016-6664 (von Oracle als CVE-2016-5616 und CVE-2016-5617 verfolgt).
CVE-2016-6663 macht die Ausnutzung von CVE-2016-6662 einfacher. Es handelt sich um eine “race condition”, die es Benutzern mit geringen Privilegien ermöglicht, Privilegien zu erhöhen und willkürlichen Code als Datenbanksystembenutzer auszuführen. Sie kann von Angreifern ausgenutzt werden, die eine Sicherheitslücke auf einer Website entdecken und Zugang zum Zielsystem als Benutzer mit geringen Privilegien erlangen. Sie kann auch in einer Shared-Hosting-Umgebung verwendet werden, in der jeder Benutzer nur auf eine bestimmte Datenbank zugreifen kann.
Laut dem Experten, der den Fehler erkannt hat, kann CVE-2016-6663 zusammen mit CVE-2016-6662 oder CVE-2016-6664 verwendet werden, um Root-Rechte zu erlangen und das gesamte anvisierte System zu kompromittieren. Der Exploit ist frei im öffentlichen Bereich verfügbar, es gibt sogar ein Video, das zeigt, wie es gemacht werden muss. Mit diesem Wissen sollten betroffene Plattformnutzer so schnell wie möglich aktualisieren.
Die Schwachstellen betreffen Oracle-MySQL-Versionen 5.5.51, 5.6.32, 5.7.14 und früher. Das kritische Patch-Update vom Oktober behebt beide Probleme. Percona hat angekündigt, dass es Percona Server aktualisiert hat, um die genannten Schwachstellen zu beheben. MariaDB hat CVE-2016-6663 gepatcht und CVE-2016-6664 bis zur kommenden Wartungsveröffentlichung verschoben, mit der Begründung, dass es allein nicht ausnutzbar ist.
Oracle-Fixes
Oracle hat die Veröffentlichung eines Critical Patch Update am 18. Oktober angekündigt, das 253 Sicherheitslücken in verschiedenen Plattformen beseitigt. Für den Oracle Database Server hat es 12 Sicherheitsfixes. Eine der Schwachstellen kann remote ausgenutzt werden, ohne dass Benutzeranmeldedaten erforderlich sind.
Oracle MySQL
31 Sicherheitsfixes für Oracle MySQL in diesem Update. 2 davon können ohne Authentifizierung entfernt ausgenutzt werden.
Greenplum Database 4.3.10.0
Das Update führt S3-beschreibbare Tabellen ein, löst bekannte Probleme und enthält einige Verbesserungen und Änderungen.
Die Angabe einer externen Tabelle mit dem gphdfs-Protokoll mit den Symbolen \, ‘, <,> war eine potenzielle Sicherheitslücke. Das Problem wurde behoben.
MariaDB 10.0.28
Die neue Version enthält Updates für XtraDB, TokuDB, Innodb, Performance Schema und behebt eine Reihe von Sicherheitslücken:
CVE-2016-5616 (CVE-2016-6663 von Oracle) Ermöglicht lokalen Benutzern die Beeinflussung von Vertraulichkeit, Integrität und Verfügbarkeit über Vektoren, die mit Server: MyISAM zusammenhängen. CVSS-Score: 7.0
CVE-2016-5624 Ermöglicht entfernten authentifizierten Benutzern die Beeinflussung der Verfügbarkeit über DML-Vektoren. CVSS-Score: 6.5
CVE-2016-5626 Ermöglicht entfernten authentifizierten Benutzern die Beeinflussung der Verfügbarkeit über GIS-Vektoren.
CVSS-Score: 6.5CVE-2016-3492 Ermöglicht entfernten authentifizierten Benutzern die Beeinflussung der Verfügbarkeit über mit Server: Optimizer verbundene Vektoren. CVSS-Score: 6.5
CVE-2016-5629 Ermöglicht entfernten Administratoren die Beeinflussung der Verfügbarkeit über mit Server: Federated verbundene Vektoren. CVSS-Score: 4.9
CVE-2016-7440 – nicht näher spezifizierte Schwachstelle.
CVE-2016-5584 Ermöglicht entfernten Administratoren die Beeinflussung der Vertraulichkeit über mit Server: Sicherheit: Verschlüsselung verbundene Vektoren. CVSS-Score: 4.4
MySQL 5.6.34
Die neue Version enthält Sicherheitsverbesserungen bezüglich der secure_file_priv-Systemvariable, die zur Begrenzung der Wirkung von Datenimport- und -exportoperationen verwendet wird. Jetzt kann sie auf NULL gesetzt werden, um alle Import-/Exportoperationen zu deaktivieren. Der Server überprüft nun den Wert von secure_file_priv beim Start und zeichnet eine Warnung in das Fehlerprotokoll auf, wenn der Wert unsicher ist. Bisher war die Systemvariable secure_file_priv standardmäßig leer. Jetzt wird der Standardwert entsprechend dem Wert der INSTALL_LAYOUT CMake-Option gesetzt. Weitere detaillierte Informationen finden Sie in den Release-Notes.
Percona Server 5.7.15-9
Basiert auf MySQL 5.7.15, einschließlich aller darin enthaltenen Fehlerkorrekturen, ist Percona Server 5.7.14-8 die derzeitige GA (Generally Available, allgemein verfügbare) Version in der Percona Server 5.7-Serie. Das Update enthält eine Reihe von Fehlerbehebungen, einschließlich der Behebung von Lecks in Sklaven-Threads, die bei Thread-Erstellungsfehlern auftraten. Auch Speicherlecks im Audit Log Plugin sind beseitigt worden.
Datenbanksicherheits-Digest – September Datenbanksicherheits-Digest – August Datenbanksicherheits-Digest – Juni-Juli