DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Database Security Digest – August 2016

Der August war für Cybersicherheitsexperten ziemlich ereignisreich. Zwei massive Black Hat- und DefCon-Konferenzen fanden in Las Vegas statt und enthüllten der Welt die neuesten Sicherheitsbedrohungen und Zero-Day-Schwachstellen. Hacker und Sicherheitsexperten diskutierten über bevorstehende Bedrohungen, wobei besonderes Augenmerk auf Bedrohungen mobiler Anwendungen, Internetsicherheit, Hacking-Methoden für Produkte des Internets der Dinge, Bug-Bounty-Programme mit recht stattlichen Belohnungen, Social Media-Hacks und sogar fliegende Hacking-Laptop-Drohnen gelegt wurde, die es Hackern ermöglichen, Angriffe aus der Ferne durchzuführen, ohne in der Nähe des Ziels sein zu müssen. Detaillierte Beschreibungen der Präsentationen der Teilnehmer finden Sie auf den offiziellen Websites von Black Hat und DefCon.

Ernsthafte MySQL-Bedrohung

Kürzlich veröffentlichte Informationen über mehrere schwerwiegende MySQL -Schwachstellen haben für Aufsehen gesorgt. Die kritischste davon (CVE-2016-6662) ermöglicht es Hackern, MySQL-Server lokal oder aus der Ferne anzugreifen und Root-Rechte zu erlangen. Die Ausnutzung dieser Schwachstelle erfordert mehrere Bedingungen: Ein Angreifer muss authentifizierten Zugang haben oder einen weiteren Angriff auf Webanwendungen durchführen, um SQL-Code einzuschleusen. Diese Schwachstelle tritt in MySQL und seinen Derivatprodukten einschließlich Percona Server und MariaDB auf und stellt eine ernsthafte Sicherheitsbedrohung dar. Aus diesem Grund empfehlen die Anbieter dringend, eine DBMS auf die neueste Version zu aktualisieren. Das Problem ist in MySQL 5.7.15, 5.6.33 und 5.5.52, MariaDB 10.0.27, 10.1.17 und Percona Server 5.7.14-7 gelöst.

Abgesehen von der Beseitigung der kritischen Schwachstelle behebt MySQL 5.7.15 einige bekannte Fehler und fügt mehrere neue Funktionen hinzu. Die dynamische Konfigurationsoption ist enthalten, die zur Deaktivierung der Deadlock-Erkennung verwendet werden kann. Eine weitere neue Option hilft bei der Auswahl der LZ4-Bibliothek. Das Systemunterstützungsskript für die Einheitendatei (mysqld_pre_systemd) wurde geändert und unterstützt nun die Erstellung der Fehlerprotokolldatei nur dann, wenn ihr Speicherort dem Muster /var/log/mysql*.log entspricht. Das aktualisierte Skript vermeidet die Erstellung unsicherer temporärer Dateien. Darüber hinaus verfügt MySQL in Bezug auf die Sicherheit jetzt über ein validate_password-Plugin, das die Fähigkeit unterstützt, Passwörter abzulehnen, die mit dem aktuellen Sitzungsbenutzernamen übereinstimmen. Das Plugin stellt die Systemvariable validate_password_check_user_name zur Verfügung, um die Kontrolle über diese Funktion zu ermöglichen.

Oracle

Da das nächste Critical Patch Update von Oracle erst im Oktober veröffentlicht wird, bleiben die meisten der aktuellen Sicherheitslücken, die beseitigt werden sollen, vorerst im Verborgenen. Hier ist diejenige, die letzten Monat entdeckt und veröffentlicht wurde.

CVE-2016-6298

Die _Rsa15-Klasse in der Implementierung des RSA 1.5-Algorithmus in jwa.py in jwcrypto vor 0.3.2 fehlt der Random Filling-Schutzmechanismus, was es Angreifern erleichtert, Klartextdaten über einen Million Message Attack (MMA) zu erhalten.

Was andere Datenbankmanagementsysteme betrifft, so wurden letzten Monat mehrere Updates veröffentlicht, darunter MariaDB 10.1.17, PostgreSQL 9.4, Greenplum Database 4.3.9.0.

Sicherheitsupdate für PostgreSQL

Das Release schließt zwei Sicherheitslücken und behebt eine Reihe von Fehlern, die in den letzten Monaten gemeldet wurden. Die Schwachstellen sind unten beschrieben:

CVE-2016-5423

Mögliche Fehlbewertung verschachtelter CASE-WHEN-Ausdrücke. Ein innerhalb des Testwertausdrucks eines anderen CASE erscheinender CASE-Ausdruck konnte verwirrt sein, ob sein eigener Testwert null war oder nicht. Auch das Inline-Anführen einer SQL-Funktion, die den Gleichheitsoperator eines CASE-Ausdrucks implementiert, könnte dazu führen, dass der falsche Testwert an Funktionen übergeben wird, die innerhalb eines CASE-Ausdrucks im SQL-Funktionskörper aufgerufen werden. Wenn die Testwerte unterschiedliche Datentypen hatten, könnte es zu einem Absturz kommen. Solche Situationen könnten ausgenutzt werden, um einen Teil des Serverspeichers offenzulegen.

CVE-2016-5424

Datenbank- und Rollennamen mit eingebetteten Sonderzeichen können zu Code-Injektionen während administrativer Operationen wie pg_dumpall führen. Zahlreiche Adressen in vacuumdb und anderen Client-Programmen könnten mit Datenbank- und Rollennamen verwechselt werden, die Anführungszeichen oder Schrägstriche enthalten. Die Zitierregeln wurden verschärft, um dies sicher zu machen. Das Handhabungsverfahren von doppelten Anführungszeichen in den \connect und \password-Befehlen von psql wurde angepasst, um mit der Dokumentation übereinzustimmen. Eine neue Option -reuse-previous im \connect-Befehl von psql wurde eingeführt, um eine explizite Kontrolle darüber zu ermöglichen, ob Verbindungsparameter von einer vorherigen Verbindung wiederverwendet werden sollen. Andernfalls basiert die Wahl darauf, ob der Datenbankname wie eine conninfo-Zeichenkette aussieht, wie zuvor. Dies ermöglicht eine sichere Handhabung von Datenbanknamen, die Sonderzeichen in pg_dumpall-Skripten enthalten.

Dies sind als Sicherheitsfixes zu betrachten, da manipulierte Objektnamen, die Sonderzeichen enthalten, verwendet werden könnten, um Befehle mit Superuser-Rechten auszuführen, unmittelbar nachdem ein Superuser pg_dumpall oder andere routinemäßige Wartungsvorgänge durchführt.

MariaDB 10.1.17

Es handelt sich um ein stabiles (GA) Release, wie oben erwähnt, das die CVE-2016-6662-Schwachstelle behebt. Weitere Änderungen betrafen den Galera-Cluster, einschließlich eines Bibliothek-Updates, der Erhöhung des Standardwerts für wseo_max_ws_size von 1GB auf 2GB und die Unterstützung der Systemvariable wsrep_max_ws_rows. Mehrere Fehler wurden behoben; die CONNECT-Engine unterstützt jetzt den JBDC-Tabellentyp; XtraDB, TokuDB, InnoDB und das Leistungsschema wurden aktualisiert.

Greenplum Database 4.3.9.0

Das Wartungs-Release umfasst einige Änderungen und Verbesserungen. Es wurde hauptsächlich durch die folgenden Fehler verursacht, die in der neuen Version behoben wurden:
Bug 1238749 – Backport rhashtable-Änderungen aus Upstream
Bug 1316093 – Fehlende Puppet-Protokolle in /var/log/remote (Backport von da314c9923fe und 1f770c0a09 in RHEL-7)

Behobene Probleme sind mit der Abfrageoptimierung, den Ausführungssprachen R und PL/R, Backup- und Restore-Skripten, dem Ressourcenmanagement, der Abfrageausführung, der Ausführung und der S3-Außentabelle verbunden.

Database Security Digest – Juni-Juli

Nächste

Zusammenfassung der Datenbanksicherheit – September 2016

Zusammenfassung der Datenbanksicherheit – September 2016

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]