DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Zusammenfassung der Datenbanksicherheit – September 2016

Hacker-Aktivitäten

Der September bleibt in Erinnerung durch eine Serie von Hacks und den größten DDoS-Angriff in der Geschichte mit einem Datenverkehr von 620GBps. Wie Spezialisten von Akamai Technologies behaupten, haben sie noch nie ein Botnet mit solchen Fähigkeiten gesehen. Es scheint, als würden die DDoS-Angreifer nicht untätig sein und die nächste Stufe erreichen.

Letzten Monat hat die Fancy Bear-Gruppe wieder die Welt-Anti-Doping-Agentur (WADA) gehackt. Der vorherige Angriff wurde durch Ausnutzung einer SQL-Injection durchgeführt, dieser jedoch durch Kontoübernahme. Gestohlene und veröffentlichte sensible Daten enthalten medizinische Informationen über Sportler, was bereits zu einer Serie von Skandalen geführt hat, da die Agentur wahre Daten verschwiegen hat.

Unter anderen bemerkenswerten Ereignissen gibt es massive Datenlecks: Rambler (100 Millionen Konten), Last.fm (43 Millionen Konten), QIP.ru (33 Millionen Konten). Und Yahoo hält den Rekord – 500 Millionen Konten!

Yahoo! wurde von einem professionellen Hackerteam verletzt, das Social Engineering nutzte, um Ziele unter den Mitarbeitern der Firma auszuwählen und ihnen E-Mails oder Chatnachrichten mit Malware zu senden. Dann führten sie Phishing durch, um die Passwörter anderer Firmenmitglieder zu erlangen. Daraufhin erhielten die Hacker Zugriff auf sensible Informationen. Die ganze Operation dauerte mehr als 2 Jahre.

Gestohlene Daten enthalten Yahoo-Mail-Kontonamen, E-Mail-Adressen, Geburtsdaten, Telefonnummern und verschlüsselte Passwörter sowie verschlüsselte und unverschlüsselte Sicherheitsfragen und -antworten, die helfen können, in andere Konten der Opfer einzubrechen. Yahoo empfiehlt betroffenen Nutzern, ihre Passwörter als Vorsichtsmaßnahme zu ändern, da die Konten online zum Verkauf angeboten werden.

Datenbanksicherheit

Zwei neue Exploits sind auf www.exploit-db.com für MySQL und seine Derivate erschienen. Der erste ist für die Offenlegung lokaler Anmeldeinformationen für MySQL 5.5.45 unter Windows (x64). Der zweite ist der Exploit der berüchtigten CVE-2016-6662 auf MySQL/MarinaDB/PerconaDB. Er kann für Codeausführung und Rechteausweitung verwendet werden.

Wie üblich stammt der massive Fluss veröffentlichter Schwachstellen erst mit dem kritischen Patch-Update von Oracle, das Ende Oktober kommt. Es gab zwei CVEs für Oracle MySQL in diesem Monat.

CVE-2016-5444
Betroffene Versionen: Oracle MySQL 5.5.48, 5.6.29, 5.7.11 und früher; MariaDB vor 10.0.25, 10.1.14
Zusammenfassung: Unspezifizierte Schwachstelle, die es Remote-Angreifern ermöglicht, die Vertraulichkeit über Vektoren im Zusammenhang mit dem Server: Connection zu beeinträchtigen.
CVSS-Schweregrad: 3.7 – NIEDRIG

CVE-2016-6662
Betroffene Versionen: Oracle MySQL 5.5.52, 5.6.33, 5.7.15 und früher; MariaDB vor 5.5.51, 10.0.27 und 10.1.17; Percona Server vor 5.5.51-38.1, 5.6.32-78.0, 5.7.14-7
Zusammenfassung: Ermöglicht lokalen Benutzern das Erstellen beliebiger Konfigurationen und das Umgehen bestimmter Schutzmechanismen, indem general_log_file auf eine my.cnf-Konfiguration gesetzt wird. Dies kann genutzt werden, um durch das Setzen von malloc_lib beliebigen Code mit Root-Rechten auszuführen.
CVSS-Schweregrad: 8.8 – HOCH

MySQL

In der Zusammenfassung des Vormonats erwähnten wir CVE-2016-6662. Das Problem wurde in MySQL 5.7.15 behoben. Aktualisieren Sie Ihr DBMS, wenn Sie noch die betroffene Version verwenden, da der Exploit für diese Schwachstelle bereits verfügbar ist.

MariaDB

MariaDB 10.1.18 wurde letzten Monat veröffentlicht. Es behebt eine Reihe bekannter Fehler und Abstürze. Seit 10.1.17 ist auch CVE-2016-6662 behoben.
Darüber hinaus wurde die Beta-Version von MariaDB 10.2.2 veröffentlicht. Sie enthält neue Window-Funktionen (LEAD, LAG, NTH_VALUE, FIRST_VALUE, LAST_VALUE), Fehlerbehebungen und andere Verbesserungen zur vorherigen Version.

Greenplum-Datenbank 4.3.9.1

Das Wartungs-Release behebt einige bekannte Probleme und umfasst Leistungs- und Stabilitätsverbesserungen, gpdbstore-Utility, gpcheckcat-Utility, gpload-Utility, externes Tabellen-S3-Protokoll, MADlib-Erweiterungserweiterungen.

PostgreSQL

PostgreSQL 9.6 wurde veröffentlicht. Es wurden erhebliche Leistungsverbesserungen vorgenommen, insbesondere im Bereich der Skalierbarkeit auf Multi-CPU-Socket-Servern. Weitere Änderungen umfassen:

  • Vermeidung unnötiger Seitenscans während Vakkumfrieroperationen
  • Parallele Ausführung von sequentiellen Scans, Joins und Aggregaten
  • Replikation unterstützt jetzt mehrere gleichzeitige synchrone Standby-Server
  • postgres_fdw unterstützt jetzt Remote-Joins, Sortierungen, UPDATES und DELETES
  • Volltextsuche kann jetzt nach Phrasen (mehrere zusammenhängende Wörter) suchen

Was die Sicherheit betrifft, werden in der neuen Version Joins von Fremdtischen nur dann remote ausgeführt, wenn die Tabellen unter derselben Rollen-ID aufgerufen werden. Bisher lag die Frage der Sicherheit während dieses Prozesses bei einzelnen Fremddaten-Wrappern (FDW). Das machte es für FDW leicht, ungewollt Sicherheitslücken zu schaffen.

In alten Versionen waren fest verdrahtete Prüfungen enthalten, die eine Fehlermeldung ausgeben würden, wenn sie von einem Nicht-Superuser aufgerufen würden. Dies führte zur Verwendung von Superuser-Rollen für relativ niedrige Aufgaben. Fehlerprüfungen werden jetzt durch eine praktischere initdb-Aufhebung des EXECUTE-Berechtigungsprivilegs für diese Funktionen ersetzt. Dadurch können Installationen die Verwendung von Funktionen an vertrauenswürdige Rollen vergeben, die nicht alle Superuser-Berechtigungen benötigen.

Außerdem gibt es eine neue Möglichkeit, integrierte Rollen (pg_signal_backend) zu erstellen. Sie können verwendet werden, um auf Funktionen zuzugreifen, die zuvor nur für Superuser bestimmt waren.

DataSunrise unterstützt alle wichtigen Datenbanken und Datenlager wie Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata und mehr. Sie sind herzlich eingeladen, eine kostenlose Testversion herunterzuladen, wenn Sie sie auf Ihren eigenen Systemen installieren möchten. Falls Sie ein Cloud-Nutzer sind und Ihre Datenbank auf Amazon AWS oder Microsoft Azure betreiben, können Sie sie im AWS Marketplace oder Azure Marketplace beziehen.

Zusammenfassung der Datenbanksicherheit – August

Zusammenfassung der Datenbanksicherheit – Juni-Juli

Nächste

Datenbanksicherheits-Digest – Oktober 2016

Datenbanksicherheits-Digest – Oktober 2016

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]