Datenbanksicherheits-Digest, Juni-Juli 2016
Laut dem neuesten IBM Sicherheitsbericht von diesem Juni beliefen sich die durchschnittlichen Kosten eines Datenverstoßes auf 4 Millionen Dollar, was eine Steigerung von 29% seit 2013 bedeutet. Jeder verlorene oder gestohlene Datensatz kostet Unternehmen ungefähr 158 Dollar. Es gab auch einen düsteren Anstieg von 64% bei gemeldeten Sicherheitsvorfällen. Die Ergebnisse des Berichts legen nahe, dass Cyber-Angriffe effektiver werden und das Gehackt-Werden teurer wird, was an die Wichtigkeit von aktuellster Informationssicherheit erinnert. Hier ist das Digest kürzlich veröffentlichter DBMS-Updates und Informationen über die wichtigsten behobenen Sicherheitslücken.
Umfassende Patching durch Oracle
Oracle setzt seinen Einflussbereich fort, indem es eine Vereinbarung im Wert von 9,3 Milliarden Dollar trifft, um NetSuite zu erwerben, das ist eine Firma, die eine Gruppe von Softwaredienstleistungen verkauft, die für mehr als 30.000 Organisationen zur Verwaltung von Geschäftsbetrieben und Kundenbeziehungen verwendet wird. Kurz vor der großen Verkaufsanzeige hat Oracle das nächste geplante Kritische Patch-Update veröffentlicht und übertrifft damit seinen vorherigen ungewollten Rekord bei der Anzahl von Sicherheitskorrekturen durch die Behebung von 27,6 Problemen in verschiedenen Produkten, einschließlich des Oracle-Datenbankservers und Oracle MySQL.
Für Oracle MySQL enthält das Kritische Patch-Update 22 neue Sicherheitskorrekturen. 3 dieser Schwachstellen (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) können ohne Authentifizierung aus der Ferne dazu ausgenutzt werden. Hier ist die Oracle MySQL Risikomatrix:
| CVE# | Komponente | Unter- komponente | Protokoll | Fernausnutzung ohne Auth.? | Base Punktzahl | Angriffs- vektor | Angriffs- komplexität | Benötigte Privilegien | Nutzer- Interaktion |
| CVE-2016-3477 | MySQL Server | Server: Parser | None | Nein | 8.1 | Lokal | Hoch | None | None |
| CVE-2016-3440 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 7.7 | Netzwerk | Niedrig | Niedrig | None |
| CVE-2016-2105 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Ja | 7.5 | Netzwerk | Niedrig | None | None |
| CVE-2016-3471 | MySQL Server | Server: Option | None | Nein | 7.5 | Lokal | Hoch | Hoch | None |
| CVE-2016-3486 | MySQL Server | Server: FTS | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | None |
| CVE-2016-3501 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | None |
| CVE-2016-3518 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | None |
| CVE-2016-3521 | MySQL Server | Server: Types | MySQL Protokoll | Nein | 6.5 | Netzwerk | Niedrig | Niedrig | None |
| CVE-2016-3588 | MySQL Server | Server: InnoDB | MySQL Protokoll | Nein | 5.9 | Netzwerk | Hoch | Niedrig | None |
| CVE-2016-3615 | MySQL Server | Server: DML | MySQL Protokoll | Nein | 5.3 | Netzwerk | Hoch | Niedrig | None |
| CVE-2016-3614 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Nein | 5.3 | Netzwerk | Hoch | Niedrig | None |
| CVE-2016-5436 | MySQL Server | Server: InnoDB | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-3459 | MySQL Server | Server: InnoDB | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-5437 | MySQL Server | Server: Log | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-3424 | MySQL Server | Server: Optimizer | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-5439 | MySQL Server | Server: Privileges | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-5440 | MySQL Server | Server: RBR | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-5441 | MySQL Server | Server: Replikation | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-5442 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Nein | 4.9 | Netzwerk | Niedrig | Hoch | None |
| CVE-2016-5443 | MySQL Server | Server: Connection | None | Nein | 4.7 | Lokal | Hoch | None | Erforderlich |
| CVE-2016-5444 | MySQL Server | Server: Connection | MySQL Protokoll | Ja | 3.7 | Netzwerk | Hoch | None | None |
| CVE-2016-3452 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL Protokoll | Ja | 3.7 | Netzwerk | Hoch | None | None |
Für Oracle Datenbankserver enthält das Kritische Patch-Update 9 neue Sicherheitskorrekturen. 5 dieser Schwachstellen (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) können ohne Authentifizierung aus der Ferne dazu ausgenutzt werden.
Oracle Datenbankserver Risikomatrix
| CVE# | Komponente | Paket und/oder benötigte Privilegien | Protokoll | Fernausnutzung ohne Auth.? | Base Punktzahl | Angriffs- vektor | Angriffs- komplexität | Benötigte Privilegien | Nutzer- Interaktion |
| CVE-2016-3609 | OJVM | Create Session | Multiple | Nein | 9.0 | Netzwerk | Niedrig | Niedrig | Erforderlich |
| CVE-2016-3506 | JDBC | None | Oracle Net | Ja | 8.1 | Netzwerk | Hoch | None | None |
| CVE-2016-3479 | Portable Clusterware | None | Oracle Net | Ja | 7.5 | Netzwerk | Niedrig | None | None |
| CVE-2016-3489 | Data Pump Import | Index auf SYS.INCVID | Oracle Net | Nein | 6.7 | Lokal | Niedrig | Hoch | None |
| CVE-2016-3448 | Application Express | None | HTTP | Ja | 6.1 | Netzwerk | Niedrig | None | Erforderlich |
| CVE-2016-3467 | Application Express | None | HTTP | Ja | 5.8 | Netzwerk | Niedrig | None | None |
| CVE-2015-0204 | RDBMS | HTTPS Listener | HTTPS | Ja | 5.3 | Netzwerk | Hoch | None | Erforderlich |
| CVE-2016-3488 | DB Sharding | Ausführen auf gsmadmin_internal | Oracle Net | Nein | 4.4 | Lokal | Niedrig | Hoch | None |
| CVE-2016-3484 | Datenbank-Tresor | Erstellen Öffentlichen Synonym | Oracle Net | Nein | 3.4 | Lokal | Niedrig | Hoch | None |
Was die anderen Oracle-Produkte betrifft, so haben neunzehn behobene Schwachstellen in neun verschiedenen Produkten eine Bewertung von 9,8 laut CVSS 3.0. In Anbetracht dessen ist es für viele Nutzer essenziell, den Patch zu installieren.
MySQL 5.7.13 Freigabe
MySQL 5.7.13 wurde offiziell im Juni freigegeben. Die neue Version von MySQL Server hat eine SQL-Schnittstelle für die Keyring-Schlüsselverwaltung, sie ist als eine Reihe von benutzerdefinierten Funktionen (UDFs) implementiert, die auf die Funktionen zugreifen, die von dem internen Keyring-Service bereitgestellt werden. Hier sind die in der neuen Version behobenen Sicherheitslücken:
CVE-2016-2106 (OpenSSL advisory, niedrige Schwere)Integer overflow in der EVP_EncryptUpdate Funktion in crypto/evp/evp_enc.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, einen Dienstverweigerungsangriff (heap memory corruption) über eine große Menge an Daten durchzuführen.
CVE-2016-2105 (OpenSSL advisory, niedrige Schwere)Integer overflow in der EVP_EncodeUpdate Funktion in crypto/evp/encode.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, einen Dienstverweigerungsangriff (heap memory corruption) über eine große Menge an binären Daten durchzuführen.
CVE-2016-2109 (OpenSSL advisory, niedrige Schwere)Die asn1_d2i_read_bio Funktion in crypto/asn1/a_d2i_fp.c in der ASN.1 BIO-Implementation in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, einen Dienstverweigerungsangriff (memory consumption) über eine kurze ungültige Kodierung durchzuführen.
CVE-2016-2107 (OpenSSL advisory, hohe Schwere)Die AES-NI-Implementierung in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h berücksichtigt während einer bestimmten Padding-Prüfung die Speicherzuordnung nicht, was es entfernten Angreifern ermöglicht, empfindliche Klartextinformationen über einen Padding-Oracle-Angriff gegen eine AES-CBC-Sitzungen zu erhalten. HINWEIS: Diese Schwachstelle existiert aufgrund einer falschen Behebung des CVE-2013-0169.
CVE-2016-2176 (OpenSSL advisory, niedrige Schwere)Die X509_NAME_oneline Funktion in crypto/x509/x509_obj.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, empfindliche Informationen aus dem Prozessspeicher zu extrahieren oder einen Dienstverweigerungsangriff (Buffer Over-Read) über bearbeitete EBCDIC ASN.1 Daten durchzuführen.
Weitere Updates
Greenplum Database 4.3.8.1 ist eine Wartungsfreigabe, die keine neuen Funktionen hinzufügt, aber einige bekannte Probleme löst und Verbesserungen bei Leistung und Stabilität, gpdbrestore-Utility, gpcheckcat-Utility, gpload-Utility, External Table s3-Protokoll und MADlib-Erweiterung einschließt.
Die Alpha-Version von MariaDB 10.2.1 wurde im Juli freigegeben. MariaDB 10.2 ist eine Weiterentwicklung von MariaDB 10.1 mit einigen neuen Funktionen, die nirgends sonst zu finden sind, und mit Features, die von MySQL 5.6 und 5.7 neu implementiert wurden. MariaDB 10.2.1 befindet sich im Alpha-Stadium.
Die PostgreSQL Weltweite Entwicklungsgemeinschaft gab bekannt, dass PostgreSQL 9.6 Beta 3 zum Download bereitsteht. Diese Version enthält Vorschauen auf alle Funktionen, die in der endgültigen Version 9.6 verfügbar sein werden, einschließlich Korrekturen für viele der in den vorherigen Betas gefundenen Probleme. Die endgültige Version von PostgreSQL wird Ende 2016 freigegeben.
