Database Security Digest – März 2017
Letzten Monat veröffentlichte Gemalto die Ergebnisse ihrer Untersuchung zu Datenverletzungen, die einen Anstieg von 86 % im Vergleich zu 2015 aufdeckten. Im Jahr 2016 wurden 1,4 Milliarden Datensätze kompromittiert. Um Sie über die neuesten Tendenzen auf dem Laufenden zu halten, haben wir die Nachrichten des letzten Monats zu Datenbanksicherheitsvorfällen, neuen Schwachstellen und Patches von Datenbankmanagementsystemen zusammengefasst.
Cybersecurity-Vorfälle
Nach der Serie von MongoDB-Angriffen warnte das FBI vor der Zunahme krimineller Aktivitäten, die auf FTP-Server abzielen, die von medizinischen und zahnmedizinischen Organisationen verwendet werden und für anonyme Zugriffe ohne Authentifizierung konfiguriert sind. Administratoren sollten sicherstellen, dass EPHI (Electronic Protected Health Information) oder PII (Personally Identifiable Information) nicht auf FTP-Servern gespeichert wird, auf denen der anonyme Modus aktiviert ist.
Bezüglich des berüchtigten Yahoo! Mega-Datenlecks, erhebten die USA Anklage gegen zwei russische Geheimdienstagenten und zwei russische Hacker. Einer der angeklagten Männer wurde in Kanada verhaftet. Die Anklage behauptet, dass Offiziere des FSB-Zentrums für Informationssicherheit sich mit Cyberkriminellen zusammengeschlossen haben, um das Yahoo!-Netzwerk zu verletzen und auf Kontoinformationen und proprietäre Daten zur Erstellung von Cookies zuzugreifen, die zum Zugriff auf Yahoo!-Konten verwendet werden. Laut der Anklage war der Zweck des Angriffs nicht nur die Informationsbeschaffung, sondern auch der private finanzielle Gewinn. In der Zwischenzeit werden eine Million Yahoo!- und Gmail-Konto-Passwörter im Dark Web zum Verkauf angeboten.
Neiman Marcus hat zugestimmt, 1,6 Millionen US-Dollar zur Beilegung eines Datenlecks zu zahlen. Im Dezember 2013 wurde das amerikanische Luxus-Kaufhaus Neiman Marcus angegriffen, was zur Offenlegung von Kreditkarteninformationen von 350.000 Kunden führte. Jetzt muss das Unternehmen eine erhebliche Summe wegen Nichteinhaltung der Cybersicherheitsvorschriften zahlen.
ABTA, der britische Reiseverband, der Reisebüros und Reiseveranstalter in Großbritannien vertritt, hat Benutzer über ein Datenleck informiert. 43.000 seiner Kunden sollen betroffen sein. Gestohlene Daten umfassen E-Mail-Adressen, verschlüsselte Passwörter von ABTA-Kunden, Kontaktdaten von Kunden von ABTA-Mitgliedern, die die Website zur Registrierung einer Beschwerde genutzt haben. Laut ABTA waren die meisten Passwörter verschlüsselt und das Risiko von Identitätsdiebstahl und Online-Betrug ist gering.
Datenbanksicherheit
In der letzten Märzwoche kündigte Percona die Veröffentlichung von Percona Server 5.7.17-12 basierend auf MySQL 5.7.17 an.
Das Release enthält Fehler- und Absturzbehebungen sowie eine neue mysqldump-Funktion, die bei der Sicherung von Servern und dem Wiederherstellen von Dump-Dateien hilft. Es stellte sich heraus, dass die Funktion auch eine Schwachstelle enthält, die weiter unten erwähnt wird.
CVE-2016-5483
Eine Schwachstelle im mysqldump-Dienstprogramm von MySQL, das zur Erstellung logischer Sicherungen von Datenbanken verwendet wird. CVE-2016-5483 ermöglicht einem Angreifer die Ausführung beliebiger SQL-Abfragen und Shell-Befehle beim Wiederherstellen der Sicherung mithilfe des mysqldump-Dienstprogramms. Um die Schwachstelle auszunutzen, muss ein Angreifer Berechtigungen zur Erstellung von Tabellen erhalten.
MariaDB 10.1.22
Abgesehen von der Behebung einiger bekannter Probleme behebt das neue MariaDB-Release zwei Sicherheitslücken:
CVE-2017-3313CVSS-Schweregrad-Wert: 4.7
Eine lokal ausnutzbare Schwachstelle im MySQL Server (MyISAM-Unterkomponente). Eine schwer auszunutzende Schwachstelle, die es einem Angreifer mit niedrigen Rechten und Login ermöglicht, die Infrastruktur, auf der MySQL Server ausgeführt wird, zu kompromittieren. Ein erfolgreicher Angriff kann zu unbefugtem Zugriff auf kritische Daten oder vollständigem Zugriff auf alle MySQL-Server-zugänglichen Daten führen.
CVE-2017-3302CVSS-Schweregrad-Wert: 7.5
Eine aus der Ferne ausnutzbare Schwachstelle, die eine Dienstunterbrechung verursachen kann und zu einem Absturz in libmysqlclient.so führt. Betroffene Versionen: MariaDB bis 5.5.54 und 10.0.29, Oracle MySQL vor 5.6.21 und 5.7.5.
Neue Sicherheitslücken
CVSS-Schweregrad-Wert: 5.9
Eine weitere Sicherheitslücke wurde in xbcrypt in Percona XtraBackup vor 2.3.6 und 2.4.x vor 2.4.5 gefunden. Sie besteht aufgrund einer unvollständigen Behebung für CVE-2013-6394. Das xbcrypt-Tool unterstützt die Verschlüsselung und Entschlüsselung der Sicherungen. Wie sich herausstellte, setzt es den Initialisierungsvektor (IV) für die Verschlüsselung nicht ordnungsgemäß, wodurch kontextabhängige Angreifer sensible Daten aus verschlüsselten Sicherungsdateien über einen gewählten Klartextangriff erlangen können. Die Schwachstelle ist aus der Ferne ausnutzbar.
CVSS-Schweregrad-Wert: 3.1
Eine neu entdeckte Schwachstelle in IBM DB2 ermöglicht es einem authentifizierten Angreifer, Tabellen anzuzeigen, die er nicht sehen darf. Die Schwachstelle ist aus der Ferne ausnutzbar und erfordert Authentifizierung.
SAP HANA Sicherheitspatch
SAP hat eine Reihe kritischer Schwachstellen in seiner cloud-basierten Geschäftsplattform HANA behoben. Wenn diese ausgenutzt werden, könnten sie zu einem vollständigen Systemkompromiss ohne Authentifizierung führen. Ein Angreifer könnte vertrauliche Daten in der Datenbank stehlen, wichtige Geschäftsprozesse stören und HTML-Code für auf HANA XS laufende Websites ändern, selbst ohne einen legitimen Benutzernamen oder ein Passwort zu haben.
Diese Schwachstellen betreffen die User Self Service (USS)-Komponente, die die Selbstregistrierung von Benutzern sowie Passwortänderungen und -zurücksetzungen ermöglicht. Der Dienst ist standardmäßig deaktiviert, jedoch aktivieren ihn einige Benutzer, um externen Benutzern interne Funktionen zugänglich zu machen.
Die Schwachstelle in USS wird mit 9.8 von CVSS bewertet, was es einem entfernten Angreifer ermöglicht, die vollständige Kontrolle über SAP HANA ohne Benutzername und Passwort zu übernehmen. Es wird dringend empfohlen, den Dienst zu deaktivieren oder den Patch anzuwenden.
Eine weitere Schwachstelle, die sogenannte Session Fixation (8.8 CVSS), ermöglicht es einem Angreifer, durch das Imitieren eines anderen Benutzers im System höhere Rechte zu erlangen.
Der März-Sicherheitspatch enthält auch Korrekturen für DoS-, Remote-Code-Ausführung-, XSS- und SQL-Injection-Schwachstellen einiger Komponenten. SAP-Entwickler empfehlen, HANA-Datenbanken so bald wie möglich zu patchen.
Database Security Digest – Februar Database Security Digest – Januar Database Security Digest – Dezember