DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Datenbanksicherheits-Digest, Juni-Juli 2016

Laut dem neuesten IBM Sicherheitsbericht von diesem Juni beliefen sich die durchschnittlichen Kosten eines Datenverstoßes auf 4 Millionen Dollar, was eine Steigerung von 29% seit 2013 bedeutet. Jeder verlorene oder gestohlene Datensatz kostet Unternehmen ungefähr 158 Dollar. Es gab auch einen düsteren Anstieg von 64% bei gemeldeten Sicherheitsvorfällen. Die Ergebnisse des Berichts legen nahe, dass Cyber-Angriffe effektiver werden und das Gehackt-Werden teurer wird, was an die Wichtigkeit von aktuellster Informationssicherheit erinnert. Hier ist das Digest kürzlich veröffentlichter DBMS-Updates und Informationen über die wichtigsten behobenen Sicherheitslücken.

Umfassende Patching durch Oracle

Oracle setzt seinen Einflussbereich fort, indem es eine Vereinbarung im Wert von 9,3 Milliarden Dollar trifft, um NetSuite zu erwerben, das ist eine Firma, die eine Gruppe von Softwaredienstleistungen verkauft, die für mehr als 30.000 Organisationen zur Verwaltung von Geschäftsbetrieben und Kundenbeziehungen verwendet wird. Kurz vor der großen Verkaufsanzeige hat Oracle das nächste geplante Kritische Patch-Update veröffentlicht und übertrifft damit seinen vorherigen ungewollten Rekord bei der Anzahl von Sicherheitskorrekturen durch die Behebung von 27,6 Problemen in verschiedenen Produkten, einschließlich des Oracle-Datenbankservers und Oracle MySQL.

Für Oracle MySQL enthält das Kritische Patch-Update 22 neue Sicherheitskorrekturen. 3 dieser Schwachstellen (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) können ohne Authentifizierung aus der Ferne dazu ausgenutzt werden. Hier ist die Oracle MySQL Risikomatrix:

 
CVE#KomponenteUnter- komponenteProtokollFernausnutzung ohne Auth.?Base PunktzahlAngriffs- vektorAngriffs- komplexitätBenötigte PrivilegienNutzer- Interaktion
CVE-2016-3477MySQL ServerServer: ParserNoneNein8.1LokalHochNoneNone
CVE-2016-3440MySQL ServerServer: OptimizerMySQL ProtokollNein7.7NetzwerkNiedrigNiedrigNone
CVE-2016-2105MySQL ServerServer: Sicherheit: VerschlüsselungMySQL ProtokollJa7.5NetzwerkNiedrigNoneNone
CVE-2016-3471MySQL ServerServer: OptionNoneNein7.5LokalHochHochNone
CVE-2016-3486MySQL ServerServer: FTSMySQL ProtokollNein6.5NetzwerkNiedrigNiedrigNone
CVE-2016-3501MySQL ServerServer: OptimizerMySQL ProtokollNein6.5NetzwerkNiedrigNiedrigNone
CVE-2016-3518MySQL ServerServer: OptimizerMySQL ProtokollNein6.5NetzwerkNiedrigNiedrigNone
CVE-2016-3521MySQL ServerServer: TypesMySQL ProtokollNein6.5NetzwerkNiedrigNiedrigNone
CVE-2016-3588MySQL ServerServer: InnoDBMySQL ProtokollNein5.9NetzwerkHochNiedrigNone
CVE-2016-3615MySQL ServerServer: DMLMySQL ProtokollNein5.3NetzwerkHochNiedrigNone
CVE-2016-3614MySQL ServerServer: Sicherheit: VerschlüsselungMySQL ProtokollNein5.3NetzwerkHochNiedrigNone
CVE-2016-5436MySQL ServerServer: InnoDBMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-3459MySQL ServerServer: InnoDBMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-5437MySQL ServerServer: LogMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-3424MySQL ServerServer: OptimizerMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-5439MySQL ServerServer: PrivilegesMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-5440MySQL ServerServer: RBRMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-5441MySQL ServerServer: ReplikationMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-5442MySQL ServerServer: Sicherheit: VerschlüsselungMySQL ProtokollNein4.9NetzwerkNiedrigHochNone
CVE-2016-5443MySQL ServerServer: ConnectionNoneNein4.7LokalHochNoneErforderlich
CVE-2016-5444MySQL ServerServer: ConnectionMySQL ProtokollJa3.7NetzwerkHochNoneNone
CVE-2016-3452MySQL ServerServer: Sicherheit: VerschlüsselungMySQL ProtokollJa3.7NetzwerkHochNoneNone

Für Oracle Datenbankserver enthält das Kritische Patch-Update 9 neue Sicherheitskorrekturen. 5 dieser Schwachstellen (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) können ohne Authentifizierung aus der Ferne dazu ausgenutzt werden.

Oracle Datenbankserver Risikomatrix

CVE#KomponentePaket und/oder benötigte PrivilegienProtokollFernausnutzung ohne Auth.?Base PunktzahlAngriffs- vektorAngriffs- komplexitätBenötigte PrivilegienNutzer- Interaktion
CVE-2016-3609OJVMCreate SessionMultipleNein9.0NetzwerkNiedrigNiedrigErforderlich
CVE-2016-3506JDBCNoneOracle NetJa8.1NetzwerkHochNoneNone
CVE-2016-3479Portable ClusterwareNoneOracle NetJa7.5NetzwerkNiedrigNoneNone
CVE-2016-3489Data Pump ImportIndex auf SYS.INCVIDOracle NetNein6.7LokalNiedrigHochNone
CVE-2016-3448Application ExpressNoneHTTPJa6.1NetzwerkNiedrigNoneErforderlich
CVE-2016-3467Application ExpressNoneHTTPJa5.8NetzwerkNiedrigNoneNone
CVE-2015-0204RDBMSHTTPS ListenerHTTPSJa5.3NetzwerkHochNoneErforderlich
CVE-2016-3488DB ShardingAusführen auf gsmadmin_internalOracle NetNein4.4LokalNiedrigHochNone
CVE-2016-3484Datenbank-TresorErstellen Öffentlichen SynonymOracle NetNein3.4LokalNiedrigHochNone

Was die anderen Oracle-Produkte betrifft, so haben neunzehn behobene Schwachstellen in neun verschiedenen Produkten eine Bewertung von 9,8 laut CVSS 3.0. In Anbetracht dessen ist es für viele Nutzer essenziell, den Patch zu installieren.

MySQL 5.7.13 Freigabe

MySQL 5.7.13 wurde offiziell im Juni freigegeben. Die neue Version von MySQL Server hat eine SQL-Schnittstelle für die Keyring-Schlüsselverwaltung, sie ist als eine Reihe von benutzerdefinierten Funktionen (UDFs) implementiert, die auf die Funktionen zugreifen, die von dem internen Keyring-Service bereitgestellt werden. Hier sind die in der neuen Version behobenen Sicherheitslücken:

CVE-2016-2106 (OpenSSL advisory, niedrige Schwere)

Integer overflow in der EVP_EncryptUpdate Funktion in crypto/evp/evp_enc.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, einen Dienstverweigerungsangriff (heap memory corruption) über eine große Menge an Daten durchzuführen.

CVE-2016-2105 (OpenSSL advisory, niedrige Schwere)

Integer overflow in der EVP_EncodeUpdate Funktion in crypto/evp/encode.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, einen Dienstverweigerungsangriff (heap memory corruption) über eine große Menge an binären Daten durchzuführen.

CVE-2016-2109 (OpenSSL advisory, niedrige Schwere)

Die asn1_d2i_read_bio Funktion in crypto/asn1/a_d2i_fp.c in der ASN.1 BIO-Implementation in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, einen Dienstverweigerungsangriff (memory consumption) über eine kurze ungültige Kodierung durchzuführen.

CVE-2016-2107 (OpenSSL advisory, hohe Schwere)

Die AES-NI-Implementierung in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h berücksichtigt während einer bestimmten Padding-Prüfung die Speicherzuordnung nicht, was es entfernten Angreifern ermöglicht, empfindliche Klartextinformationen über einen Padding-Oracle-Angriff gegen eine AES-CBC-Sitzungen zu erhalten. HINWEIS: Diese Schwachstelle existiert aufgrund einer falschen Behebung des CVE-2013-0169.

CVE-2016-2176 (OpenSSL advisory, niedrige Schwere)

Die X509_NAME_oneline Funktion in crypto/x509/x509_obj.c in OpenSSL vor 1.0.1t und 1.0.2 vor 1.0.2h ermöglicht es entfernten Angreifern, empfindliche Informationen aus dem Prozessspeicher zu extrahieren oder einen Dienstverweigerungsangriff (Buffer Over-Read) über bearbeitete EBCDIC ASN.1 Daten durchzuführen.

Weitere Updates

Greenplum Database 4.3.8.1 ist eine Wartungsfreigabe, die keine neuen Funktionen hinzufügt, aber einige bekannte Probleme löst und Verbesserungen bei Leistung und Stabilität, gpdbrestore-Utility, gpcheckcat-Utility, gpload-Utility, External Table s3-Protokoll und MADlib-Erweiterung einschließt.

Die Alpha-Version von MariaDB 10.2.1 wurde im Juli freigegeben. MariaDB 10.2 ist eine Weiterentwicklung von MariaDB 10.1 mit einigen neuen Funktionen, die nirgends sonst zu finden sind, und mit Features, die von MySQL 5.6 und 5.7 neu implementiert wurden. MariaDB 10.2.1 befindet sich im Alpha-Stadium.

Die PostgreSQL Weltweite Entwicklungsgemeinschaft gab bekannt, dass PostgreSQL 9.6 Beta 3 zum Download bereitsteht. Diese Version enthält Vorschauen auf alle Funktionen, die in der endgültigen Version 9.6 verfügbar sein werden, einschließlich Korrekturen für viele der in den vorherigen Betas gefundenen Probleme. Die endgültige Version von PostgreSQL wird Ende 2016 freigegeben.

Nächste

Database Security Digest – August 2016

Database Security Digest – August 2016

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]