Database Security Digest – September 2017
Wir präsentieren Ihnen eine Zusammenfassung der neuesten Vorfälle und Updates zur Datenbanksicherheit.
Equifax-Datenleck
Eine unbekannte Partei hackte Equifax, eine große Verbraucherkreditauskunftei, die äußerst sensible Informationen verarbeitet. Persönliche Daten von 143 Millionen US-Verbrauchern wurden kompromittiert, darunter Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen Führerscheinnummern, mindestens 209.000 Kreditkarteninformationen sowie zusätzliche PII von 182.000 Personen. Einige Daten von Kunden aus Großbritannien und Kanada sind ebenfalls betroffen.
Equifax hat berichtet, dass der Angriff durch Ausnutzung einer Remote-Code-Ausführungsschwachstelle in der Open-Source-Serversoftware Apache Struts (CVE-2017-5638) erfolgte. Ein Angreifer sendet eine HTTP-Anfrage, die ein serialisiertes Objekt oder einen OGNL-Ausdruck enthält, wodurch die Möglichkeit zur Ausführung beliebigen Codes gegeben ist. Die Schwachstelle wurde im März offengelegt. Es handelt sich um eine kritische Schwachstelle, und Equifax hätte sie unbedingt patchen sollen.
Abgesehen davon, dass sie einen massiven Angriff zuließen, hat Equifax ohne ersichtlichen Grund versäumt, den Vorfall innerhalb von 72 Stunden zu melden, wie es die europäische Datenschutz-Grundverordnung (General Data Privacy Regulation) vorschreibt. Das Unternehmen berichtete erst 40 Tage nach Entdeckung des Vorfalls.
Fehlkonfigurierte AWS-Datenbanken lecken weiterhin
Ein globaler Kommunikationsdienstanbieter BroadSoft hat 600 GB Daten ungesichert auf zwei frei zugänglichen Cloud-Repositories hinterlassen. Die Dateien enthielten SQL-Datenbank-Dumps, Zuganglogs, Kundenrechnungsadressen.
TigerSwan, ein privater Militärauftragnehmer aus den USA, hat tausende Lebensläufe kompromittiert, die persönliche Informationen von amerikanischen Militärveteranen enthalten.
Der amerikanische Telekommunikationskonzern Verizon hat vertrauliche Unternehmensdateien einschließlich Entschlüsselungsschlüssel, Benutzernamen und Passwörter zur Zugriff auf das interne Netzwerk von Verizon offengelegt.
In allen Fällen wurden die Daten auf AWS Simple Storage Service (S3)-Buckets gespeichert. Die Lecks traten aufgrund der Aktivierung des öffentlichen Zugriffs auf die Datenbanken auf. Der Trend setzt sich fort. Wenn Sie Daten in Amazon-Buckets speichern, sollten Sie diese doppelt überprüfen.
MS SQL Server 2017 veröffentlicht
Eine neue Version von SQL Server enthält Bugfixes und ist ab sofort mit Linux und macOS (via Docker) kompatibel. Einige Funktionen (Replikation, Reporting Services, Analysing Services, Machine Learning Services) werden jedoch noch nicht für Linux unterstützt. Weitere Änderungen umfassen:
- Verbesserungen bei der Berechnung der Schwellenwerte für das inkrementelle Statistikupdate.
- Unterstützung von Graphabfragen
- Adaptive Query Processing und Automatic Tuning für eine bessere Abfrageoptimierung.
- Python-Unterstützung in den Machine Learning Services
Die vollständige Liste der Änderungen finden Sie in den Release Notes.
CVE-2017-1520
CVSS-Schweregrad: 3.7
Beschreibung: Eine Schwachstelle in IBM DB2 9.7, 10.1, 10.5 und 11.1, die es erlaubt, einen nicht autorisierten Befehl auszuführen, um die Datenbank zu aktivieren, wenn der Authentifizierungstyp CLIENT ist. Aus der Ferne ohne Authentifizierung ausnutzbar.
CVE-2017-1519
CVSS-Schweregrad: 5.9
Beschreibung: Denial-of-Service-Schwachstelle in IBM DB2 10.5 und 11.1. Ein Remote-Benutzer ohne Authentifizierung kann den Dienst für DB2 Connect-Server mit einer bestimmten Konfiguration stören.
CVE-2017-1452
CVSS-Schweregrad: 7.8
Beschreibung: Eine Schwachstelle in IBM DB2 9.7, 10.1, 10.5 und 11.1, die es einem lokalen Benutzer ermöglicht, Privilegien zu erhöhen und DB2-Dateien zu überschreiben. Lokal ohne Authentifizierung ausnutzbar.
CVE-2017-1451
CVSS-Schweregrad: 7.8
Beschreibung: Eine Schwachstelle in IBM DB2 9.7, 10.1, 10.5 und 11.1, die es einem lokalen Benutzer mit den Rechten des DB2-Instanzbesitzers ermöglicht, Root-Privilegien zu erlangen.
CVE-2017-1439
CVSS-Schweregrad: 6.7
Beschreibung: Eine Schwachstelle in IBM DB2 9.7, 10.1, 10.5 und 11.1, die es einem lokalen Benutzer mit den Rechten des DB2-Instanzbesitzers ermöglicht, Root-Privilegien zu erlangen. Lokal ohne Authentifizierung ausnutzbar.
CVE-2017-1438
CVSS-Schweregrad: 6.7
Beschreibung: Eine Schwachstelle in IBM DB2 9.7, 10.1, 10.5 und 11.1, die es einem lokalen Benutzer mit den Rechten des DB2-Instanzbesitzers ermöglicht, Root-Privilegien zu erlangen.
CVE-2017-1434
CVSS-Schweregrad: 4.7
Beschreibung: Eine Schwachstelle in IBM DB2 9.7, 10.1, 10.5 und 11.1, die bei bestimmten Einstellungen einem nicht autorisierten lokalen Benutzer erlaubt, sensible Informationen im Fehlerlog offenzulegen.
Database Security Digest – Juli
Database Security Digest – Juni
