Digest zur Datenbanksicherheit – Februar 2017
Es ist an der Zeit, Ihnen die neuesten Nachrichten im Bereich der Datenbanksicherheit vorzustellen.
Erpressungsangriffe wechselten zu MySQL
Erpressungsangriffe auf fehlkonfigurierte MongoDB und CouchDB hielten an. Erpresser haben zudem begonnen, MySQL-Datenbanken ins Visier zu nehmen. Das Angriffsschema bleibt ziemlich einfach: eine Datenbank mit Standardeinstellungen erkennen, das ‘root’-Passwort per Brute-Force herausfinden, den Datenbankinhalt löschen und finanzielle Unterstützung für die Wiederherstellung der Daten verlangen.
Diese Art von Angriff kann leicht vermieden werden, wenn Sie die grundlegenden Sicherheitsmaßnahmen anwenden:
- Installieren Sie die neueste Version Ihres RDBMS.
- Lassen Sie das Standardpasswort für Root-Benutzer nicht bestehen. Weisen Sie starke Passwortkombinationen zu und verwenden Sie zufällige Passwortgeneratoren.
- Minimieren Sie internetbasierte Dienste.
- Implementieren Sie Aktivitätsüberwachungstools, um sich über den aktuellen Zustand Ihrer internetzugänglichen Server im Klaren zu sein.
SQL-Injection-Schwachstelle in WordPress
Im NextGEN Gallery-Plugin von WordPress wurde eine schwerwiegende, remote ausnutzbare Schwachstelle gefunden. Diese ermöglicht es einem unauthentifizierten Benutzer, SQL-Code einzuschleusen und sensible Daten aus der Datenbank der Opfer-Website abzurufen, einschließlich der Hashes von WordPress-Benutzerpasswörtern. Betroffen sind Websites, die NextGEN Basic TagCloud Gallery verwenden oder bei denen es Benutzern erlaubt ist, Beiträge einzureichen.
SQL-Injections sind aufgrund der ungültigen Validierung von Abfrageparametern möglich. Infolgedessen wird die von einem Benutzer eingegebene Information ohne die richtige Filterung zur SQL-Abfrage hinzugefügt. Die Schwachstelle wurde in NextGEN Gallery 2.1.79 behoben.
Leck bei Cloudflare
Cloudflare bietet Internet-Sicherheits- und Leistungsdienste für Millionen von Websites. Es hat sich herausgestellt, dass der CloudFlare-Dienst einen großen Fehler hatte und von September 2016 bis Februar 2017 sensible Daten preisgab.
Laut Cloudflare-Berichten trat das Problem im HTML-Parser der folgenden drei Funktionen auf: Automatische HTTP-Umschreibungen, E-Mail-Verschleierung und Serverseitige Ausschlüsse. Der Fehler verursachte einen Pufferüberlauf auf den Edge-Servern, wodurch Speicher zurückgegeben wurde, der private Informationen wie Authentifizierungs-Tokens, HTTP-Cookies, HTTP-POST-Körper und einige andere kritische Daten enthielt. Alle drei Funktionen, die zum Speicherleck führten, wurden sofort deaktiviert, sobald das Unternehmen das Problem bemerkte.
Zu den Opfern gehören Uber, Fitbit, OK Cupid und andere webbasierte Dienste. Der Einfluss des Lecks wird als minimal angesehen. Cloudflare löschte in Zusammenarbeit mit Suchmaschinenanbietern den zwischengespeicherten Speicher, der die geleakten Daten enthielt, aus den Suchmaschinen, bevor das Problem bekannt gemacht wurde. Das Unternehmen erklärte auch, dass keine SSL-Schlüssel von Kunden geleakt wurden, da eine isolierte NGINX-Instanz zur Beendigung von SSL-Verbindungen verwendet wird.
SHA-1 auf dem Weg nach draußen
Forscher von Google haben den ersten praktischen Kollisionsangriff auf die kryptografische Hash-Funktion SHA-1 durchgeführt. Der Angriff basiert auf der Kollision von zwei PDF-Dateien. Sie haben es geschafft, die SHA-1-Digitalsignatur der ersten PDF-Datei zu erhalten und diese zu nutzen, um die zweite PDF-Datei durch Imitation der Signatur zu extrahieren.
Die Berechnungen dauern Jahre und die Kosten des Angriffs werden auf bis zu 120.000 USD geschätzt, aber es wird erwartet, dass sie in Zukunft sinken. Die Forscher behaupten, dass ihre Methode 100.000-mal schneller ist als ein Brute-Force-Angriff.
Viele Organisationen haben SHA-1 bereits durch SHA-2 und SHA-3 ersetzt, da der Algorithmus gegen gut ausgestattete Gegner nicht mehr als sicher gilt. Google, Microsoft, Apple und Mozilla haben angekündigt, dass ihre Browser ab 2017 keine SHA-1-SSL-Zertifikate mehr akzeptieren werden.
Datenbank-Schwachstellen und RDBMS-Veröffentlichungen
CVE-2017-3302Betroffene Versionen: Oracle MySQL vor 5.6.21 und 5.7.x vor 5.7.5 und MariaDB bis 5.5.54, 10.0.x bis 10.0.29, 10.1.x bis 10.1.21 und 10.2.x bis 10.2.3 CVSS-Schweregrad: 7.5 Ermöglicht einem nicht authentifizierten Angreifer ohne Berechtigungen, einen Absturz in libmysqlclient.so zu verursachen
Percona Server 5.7.17-11 Veröffentlichung fügt zwei neue Funktionen hinzu und behebt bekannte Fehler. Die Liste der wichtigen Änderungen sehen Sie unten:
- Unterstützung für per-Spalte VARCHAR/BLOB-Kompression für den XtraDB-Speicher-Engine. Um das Kompressionsverhältnis für kurze Einzelzeilen wie JSON-Daten zu verbessern, wurde die Unterstützung für Kompressionswörterbücher hinzugefügt.
- Die Neuimplementierung der Funktion Leerlaufende Transaktionen beenden löst Serverabstürze und kann jetzt in jedem Transaktionsspeicher-Engine (TokuDB, MyRocks) verwendet werden. Das Timeout für das Lesen der Verbindungssocket ist eingestellt, anstatt periodisch die internen InnoDB-Transaktionen zu scannen.
- Um die Eskalation von Berechtigungen zu vermeiden, beschränkt mysq_safe die Verwendung von rm und chown. Der Befehl chown kann jetzt nur noch für das Verzeichnis /var/log verwendet werden.
Es gab auch eine Veröffentlichung von Percona Server für MongoDB 3.4.
Der erste Veröffentlichungskandidat (RC) wurde in der MariaDB 10.2 Serie veröffentlicht. Um zu sehen, was neu ist, lesen Sie die Veröffentlichungshinweise.
PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 und 9.2.20 veröffentlicht. Es behebt über 75 Fehler und behebt einige bekannte Probleme. Nachfolgend die bemerkenswertesten:
- Eine Race Condition trat auf, wenn der Befehl CREATE INDEX CONCURRENTLY auf eine Spalte angewendet wurde, die zuvor nicht indiziert worden war, was zu Datenkorruption führen konnte. Das Problem wurde behoben.
- Verbesserungen der Stabilität der sichtbaren Daten und des Write-Ahead-Logging.
Digest zur Datenbanksicherheit – Januar Digest zur Datenbanksicherheit – Dezember Digest zur Datenbanksicherheit – November