Database Security Digest – Dezember 2016
Wie gewohnt stellen wir Ihnen die schwerwiegendsten Vorfälle im Bereich der Informationssicherheit vor, die im Dezember stattgefunden haben.
Es gibt neue Informationen über den berüchtigten Hack des Yahoo!Mail-Dienstes, der mit der zweitpopulärsten Suchmaschine der Welt in Verbindung steht. Jetzt sprechen wir von 1 Milliarde gestohlener Benutzerkonten. Der Hacker (angeblich ein staatlicher Akteur im Zusammenhang mit dem Verstoß von 2014) hat Zugriff auf proprietären Yahoo-Code erlangt, um Cookies zu fälschen.
Ein Hack gegen eine unbenannte russische Bank wurde gemeldet. Über den Vorfall gibt es bisher nicht viele öffentliche Informationen, wir wissen nur, dass Angreifer etwa 1,4 Millionen Dollar gestohlen haben, indem sie das Kernbankensystem gehackt haben.
Die Video-Sharing-Website Dailymotion hat einen Datenverstoß erlitten. 82,5 Millionen Benutzerkonten sind kompromittiert, darunter Benutzer-IDs, E-Mails und gehashte Passwörter. Die Passwörter sind mit dem Bcrypt-Algorithmus geschützt, den entschlossene Angreifer überlisten können.
Das Fitnessunternehmen PayAsUGym wurde gehackt und hat die persönlichen Daten von 300.000 Kunden kompromittiert. Das Unternehmen behauptet, die Passwörter seien verschlüsselt gewesen, aber es wurde der diskreditierte MD5-Algorithmus mit unsalteten Hashes verwendet. Ein weiteres Beispiel für unverantwortliches Verhalten gegenüber Sicherheitsfragen.
Der berühmte Hacker/Pentester Kaputskiy hat die Website der Nationalversammlung von Ecuador gehackt und einige der Daten veröffentlicht. Anfang dieses Monats haben Kaputskiy und sein Freund Kasimierz L. die offizielle Website des argentinischen Industrieministeriums gehackt. Beide Angriffe wurden durch Ausnutzung der SQL-Injection-Schwachstelle durchgeführt.
Ein schwerer Cyberangriff wurde gegen den deutschen Stahlriesen ThyssenKrupp durchgeführt, um technisches Know-how und Forschung zu stehlen. Die frühzeitige Erkennung des Angriffs half, schwerwiegendere Folgen zu verhindern. Die Untersuchung läuft noch.
Datenbanksicherheit
Im Folgenden sind die im Dezember gefundenen Schwachstellen aufgeführt.
In Versionen von Django vor 1.8.16, 1.9.11 und 1.10.3 wird ein fest codiertes Passwort für einen temporären Datenbankbenutzer verwendet, der während der Ausführung von Oracle-Datenbanktests erstellt wird. Die Ausnutzung erleichtert es einem entfernten Angreifer, durch Angabe eines Passworts im TEST-Wörterbuch der Datenbankeinstellungen Zugriff auf den Datenbankserver zu erhalten.
CVSS-Schweregrad: 9.8 Kritisch
Es wurde im Oktober-Digest erwähnt, und jetzt haben wir mehr Informationen darüber.
Beim Dateibasierten Logging können lokale Benutzer, die Zugriff auf das MySQL-Konto haben, Root-Rechte mit Hilfe eines Symlink-Angriffs auf Fehlerprotokolle erhalten.
CVSS-Schweregrad: 7.0 Hoch
Es wurde auch in den vorherigen Digests erwähnt.
Es ermöglicht lokalen Benutzern mit niedrigen Berechtigungen, Privilegien zu erlangen, indem sie die my_copystat-Funktion des REPAIR TABLE-Befehls für eine MyISAM-Tabelle ausnutzen.
CVSS-Schweregrad: 7.0 Hoch
Bietet Angreifern mit einem manipulierten Benutzernamen oder einem Tabellennamen die Möglichkeit, SQL-Anweisungen in die Tracking-Funktionalität einzuschleusen, die mit den Steuerbenutzerprivilegien ausgeführt würden. Die Ausnutzung ermöglicht Lese- und Schreibzugriff auf die Tabellen der Konfigurationsspeicherdatenbank. Wenn der Steuerbenutzer die erforderlichen Privilegien hat, kann ein Angreifer einige Tabellen der MySQL-Datenbank lesen.
CVSS-Schweregrad: 7.5 Hoch
XSS in phpMyAdmin. Manipulierter Spalteninhalt in der Zoomsuche kann genutzt werden, um einen XSS-Angriff durchzuführen. Bestimmte Felder im GIS-Editor sind nicht richtig escapet, sodass sie auch für einen XSS-Angriff genutzt werden können.
CVSS-Schweregrad: 6.1 Mittel
MariaDBCVE-2016-7740
Erleichtert es lokalen Benutzern, AES-Schlüssel zu entdecken, indem sie Cache-Bank-Timing-Differenzen ausnutzen.
CVSS-Schweregrad: 5.5 Mittel
Betroffene Versionen: Pivotal Greenplum vor 4.3.10.0
Beliebige Befehle können in das System eingeschleust werden, indem die Schwachstelle im Prozess der Erstellung externer Tabellen mit GPHDFS ausgenutzt wird. Die Ausnutzung erfordert Superuser-‚gpadmin‘-Zugriff auf das System oder GPHDFS-Protokollberechtigungen.
CVSS-Schweregrad: 7.2 Hoch
MySQL 5.6.35
Das neue Release enthält Korrekturen bekannter Fehler, Leistungs- und Sicherheitsverbesserungen.
Sicherheitsänderungen umfassen:
- Der Befehl chown kann jetzt nur verwendet werden, wenn das Zielverzeichnis /var/log ist. Wenn das Verzeichnis für den Unix-Socket fehlt, tritt ein Fehler auf. Unsichere Verwendung der Befehle rm oder chown im Abschnitt mysql_safe einer cnf-Optionsdatei könnte zu einer Privilegieneskalation führen.
- Die Option –ledir wird jetzt nur in der Befehlszeile und nicht in Optionsdateien akzeptiert.
- Initialisierungsskripte in der neuen Version erstellen die Fehlerprotokolldatei, sofern das Basisverzeichnis /var/lib oder /var/log ist.
- Nicht verwendete System-Dateien für SLES werden entfernt.
- Die Enterprise-Verschlüsselung für MySQL Enterprise Edition ermöglicht jetzt Serveradministratoren, maximale Schlüssellängen durch Setzen von Umgebungsvariablen zu begrenzen. Diese können verwendet werden, um zu verhindern, dass Clients übermäßige CPU-Ressourcen verwenden, indem sie sehr lange Schlüssellängen bei Schlüsselgenerierungsoperationen übergeben.
- Das Connection-control-Plugin. Nach einer bestimmten Anzahl aufeinanderfolgender fehlgeschlagener Versuche, auf MySQL-Benutzerkonten zuzugreifen, erhöht sich die Verzögerung der Serverantwort. Dieses neue Plugin wurde entwickelt, um Brute-Force-Angriffe zu verlangsamen.
Greenplum Database 4.3.11.0
Greenplum Database 4.3.11.0 umfasst folgende Verbesserungen:
- Verbesserte PQO-Abfrageausführung
- Verbesserte Abbruch von Abfragen
- Verbesserte Abfrageausführung von Hash-Aggregaten
- Verbesserte Speicherverwaltung der Greenplum-Datenbank
- Verbesserte Verwaltung gelöschter Zeilen in Persistent-Tabellen
- Erweitertes PL/Java-Umfeld für die Entwicklung
- gptransfer überträgt Daten von partitionierten zu nicht-partitionierten Tabellen
Teradata Database 16.00
Teradata Database 16.00 bietet viele neue Funktionen und Verbesserungen in den strategischen Kategorien Adaptive Execution, Big Data & UDA Enabling, Extreme Performance, High Availability, Industry Compatibility, Quality and Supportability, Simplicity and Ease of Use. Detaillierte Versionshinweise finden Sie hier.
Hinsichtlich Sicherheitsfragen enthält das neue Release folgende Verbesserungen:
Leichtgewichtige LDAP-Autorisierung. Es ermöglicht Benutzern, vorhandene Verzeichnisdienste zu nutzen, um Teradata-Datenbankbenutzer zu autorisieren, ohne dass das Verzeichnis geändert werden muss, um Teradata-spezifische Schemata, Strukturen und Einträge aufzunehmen. Es funktioniert mit LDAPv3-kompatiblen Verzeichnisservern (LDAP und KRB5). Es hat eine verbesserte Anmeldeleistung im Vergleich zu herkömmlichen Autorisierungsmechanismen.
Das tdgssauth-Tool wird verwendet, um die Konfigurationen des TDGSS-Sicherheitsmechanismus auf Teradata-Datenbankknoten und Unity Director-Servern zu testen. Es testet Richtlinienfehler offline, korrekte Authentifizierung und Autorisierung. Obwohl tdgssauth die Proxy-Mechanismen nicht testen kann, ist es ein robustes Tool zur Durchsetzung der Sicherheitsrichtlinie, das ein Live-Debugging ermöglicht, ohne dass die Datenbank die Ausführung stoppen muss.
Benutzerwählbares Installationsverzeichnis (USD). Es wird verwendet, um sichere Verbindungen zwischen einem Client und einem Server mit Hilfe der Teradata Generic Security Service (GSS)-Schnittstelle herzustellen. Jetzt kann der Benutzer den Stammordner oder das Laufwerk für die Installation angeben.
Database Security Digest – November Database Security Digest – Oktober Database Security Digest – September