Resumen de Seguridad de Bases de Datos – Enero 2017
Aquí están las noticias más notables sobre ciberataques y seguridad de bases de datos.
Para los usuarios de MongoDB, el año comenzó con enormes riesgos. Se informó de más de 28,000 bases de datos MongoDB secuestradas. MongoDB es un RDBMS NoSQL de código abierto y gratuito. Los ataques son realizados por varios grupos utilizando simples scripts que explotan la implementación mal configurada de MongoDB. El ransomware borra la base de datos y pide de $100-500 para recuperarla. El script es útil solo para aquellas bases de datos MongoDB que tienen una contraseña predeterminada o fácil de adivinar en la cuenta de administrador y que pueden ser accesibles a través de Internet. También se dispone de información sobre los ataques a Hadoop y CouchDB realizados por el mismo esquema. Se dice que el problema común de las víctimas es la configuración predeterminada que puede permitir el acceso sin autorización. La seguridad de estas plataformas no es el problema, el problema ocurrió debido a que sorprendentemente muchas empresas descuidaron los aspectos más básicos de la seguridad de las bases de datos. Las empresas que no realizaron copias de seguridad de las bases de datos han perdido sus datos para siempre, ya que la mayoría de los atacantes no devuelven los datos robados incluso después de recibir el pago.
La comunidad de videojuegos ESEA ha sido vulnerada. Se comprometieron 1.5 millones de cuentas incluyendo nombres de usuario, direcciones de correo electrónico, contraseñas encriptadas, fechas de nacimiento y números de teléfono. La empresa no almacenaba información de pago y las contraseñas de las cuentas estaban encriptadas con bcrypt.
Los bancos indios encontraron un problema con SWIFT, que es un sistema utilizado para asegurar las transacciones financieras. No hubo pérdidas de dinero, pero podría haber sido utilizado para la duplicación fraudulenta de documentos comerciales. Se está realizando una auditoría forense.
Seguridad de bases de datos
Oracle comenzó este año con la actualización regular de parches críticos que solucionan 270 vulnerabilidades en varias plataformas. La matriz de riesgo original puede encontrarse aquí.
MySQL
La actualización de parches críticos contiene 27 correcciones de seguridad para Oracle MySQL. 5 de estas vulnerabilidades pueden ser explotadas a través de una red sin la necesidad de credenciales de usuario.
| CVE # | Puntuación CVSS | Componente | Descripción |
| CVE-2015-7501 | 8.8 | MySQL Enterprise Monitor: General | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de TLS tomar el control del componente MySQL Enterprise Monitor. |
| CVE-2016-0635 | 8.8 | MySQL Enterprise Monitor: General | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de TLS tomar el control del componente MySQL Enterprise Monitor. |
| CVE-2016-0714 | 8.8 | MySQL Enterprise Monitor: General | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de TLS tomar el control del componente MySQL Enterprise Monitor. |
| CVE-2016-5541 | 4.8 | MySQL Cluster: NDBAPI | Permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer el componente MySQL Cluster. La explotación exitosa puede resultar en el acceso no autorizado para actualizar, insertar o borrar parte de los datos accesibles de MySQL Cluster y en la capacidad no autorizada de provocar una negación de servicio parcial de MySQL Cluster. |
| CVE-2016-5590 | 7.2 | MySQL Enterprise Monitor: Agente | Vulnerabilidad fácilmente explotable que permite a un atacante de alto privilegio con acceso a la red a través de TLS comprometer el MySQL Enterprise Monitor. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma del control del MySQL Enterprise Monitor. |
| CVE-2016-6304 | 7.5 | MySQL Enterprise Monitor: General | Vulnerabilidad fácilmente explotable que permite a un atacante no autenticado con acceso a la red a través de TLS comprometer el componente MySQL Enterprise Monitor. La explotación exitosa puede dar lugar a la capacidad no autorizada de provocar un fallo o un accidente frecuente y repetible (DOS completo) del componente MySQL Enterprise Monitor. |
| CVE-2016-8318 | 6.8 | MySQL Server: Encryption | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. Para la explotación se requiere otra parte distinta del atacante. Los ataques pueden impactar significativamente en otros productos. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2016-8327 | 4.4 | MySQL Server: Replication | Vulnerabilidad difícil de explotar que permite a un atacante con alto privilegio y acceso a la red a través de varios protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3238 | 6.5 | MySQL Server: Optimizer | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3243 | 4.4 | MySQL Server: Charsets | Vulnerabilidad difícil de explotar que permite a un atacante de alto privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3244 | 6.5 | MySQL Server: DML | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3251 | 4.9 | MySQL Server: Optimizer | Vulnerabilidad fácilmente explotable que permite a un atacante de alto privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3256 | 6.5 | MySQL Server: Replication | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3257 | 6.5 | MySQL Server: InnoDB | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3258 | 6.5 | MySQL Server: DDL | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3265 | 5.6 | MySQL Server: Packaging | Vulnerabilidad difícil de explotar que permite a un atacante con alto privilegio iniciar sesión en la infraestructura donde el servidor MySQL se ejecuta para comprometer el servidor MySQL. La explotación requiere otra interacción aparte del atacante. La explotación exitosa concede un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles del servidor MySQL y la capacidad no autorizada de provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3273 | 6.5 | MySQL Server: DDL | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3291 | 6.3 | MySQL Server: Packaging | Vulnerabilidad difícil de explotar que permite a un atacante de alto privilegio iniciar sesión en la infraestructura donde el servidor MySQL se ejecuta para comprometer el servidor MySQL. La explotación requiere otra parte aparte del atacante. La explotación exitosa puede resultar en la toma del control del servidor MySQL. |
| CVE-2017-3312 | 6.7 | MySQL Server: Packaging | Vulnerabilidad difícil de explotar que permite a un atacante de bajo privilegio iniciar sesión en la infraestructura donde el servidor MySQL se ejecuta para comprometer el servidor MySQL. La explotación requiere otra parte aparte del atacante. La explotación exitosa puede resultar en la toma del control del servidor MySQL. |
| CVE-2017-3313 | 4.7 | MySQL Server: MyISAM | Vulnerabilidad difícil de explotar que permite a un atacante de bajo privilegio iniciar sesión en la infraestructura donde el servidor MySQL se ejecuta para comprometer el servidor MySQL. La explotación exitosa concede un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles del servidor MySQL. |
| CVE-2017-3317 | 4.0 | MySQL Server: Registro | Vulnerabilidad difícil de explotar que permite a un atacante de alto privilegio iniciar sesión en la infraestructura donde el servidor MySQL se ejecuta para comprometer el servidor MySQL. El ataque requiere otra interacción aparte del atacante. La explotación exitosa permite a un usuario no autorizado provocar un fallo o un accidente frecuente y repetible (DOS completo) del servidor MySQL. |
| CVE-2017-3318 | 4.0 | MySQL Server: Manejo de errores | Vulnerabilidad difícil de explotar que permite a un atacante de alto privilegio iniciar sesión en la infraestructura donde el servidor MySQL se ejecuta para comprometer el servidor MySQL. El ataque requiere otra interacción aparte del atacante. La explotación exitosa concede un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles del servidor MySQL. |
| CVE-2017-3319 | 3.1 | MySQL Server: X Plugin | Vulnerabilidad difícil de explotar que permite a un atacante de bajo privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa puede dar lugar a un acceso no autorizado para leer una parte de los datos accesibles al servidor MySQL. |
| CVE-2017-3320 | 2.4 | MySQL Server: Encryption | Vulnerabilidad fácilmente explotable que permite a un atacante de alto privilegio con acceso a la red a través de múltiples protocolos comprometer el servidor MySQL. La explotación exitosa concede un acceso no autorizado para leer una subconjunto de los datos accesibles del servidor MySQL. |
| CVE-2017-3321 | 3.7 | MySQL Cluster: General | Vulnerabilidad difícil de explotar que permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer MySQL Cluster. La explotación exitosa concede una capacidad no autorizada para provocar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. |
| CVE-2017-3322 | 3.7 | MySQL Cluster: NDBAPI | Vulnerabilidad difícil de explotar que permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer MySQL Cluster. La explotación exitosa concede una capacidad no autorizada para provocar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. |
| CVE-2017-3323 | 3.7 | MySQL Cluster: General | Vulnerabilidad difícil de explotar que permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer MySQL Cluster. La explotación exitosa concede una capacidad no autorizada para provocar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. |
Servidor de bases de datos Oracle
Esta Actualización de parches críticos contiene 5 nuevas correcciones de seguridad para el Servidor de bases de datos Oracle. 3 de ellas pueden ser explotadas de forma remota sin autenticación.
| CVE # | Puntuación CVSS | Componente | Descripción |
| CVE-2017-3240 | 3.3 | Seguridad RDBMS | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con privilegio de inicio de sesión local y acceso a la infraestructura donde se ejecuta la Seguridad RDBMS comprometer el componente de Seguridad RDBMS. La explotación exitosa puede resultar en un acceso no autorizado para leer un subconjunto de datos accesibles a la Seguridad RDBMS. |
| CVE-2017-3310 | 9.0 | OJVM | Vulnerabilidad fácilmente explotable que permite a un atacante de bajo privilegio con privilegios de Crear Sesión y Crear Procedimiento y acceso a la red a través de múltiples protocolos comprometer OJVM. El ataque puede impactar significativamente en otros productos y requiere una interacción adicional aparte del atacante. La explotación exitosa puede resultar en la toma de control de OJVM. |
| CVE-2015-1791 | 5.6 | Oracle Secure Backup: OpenSSL | Vulnerabilidad difícil de explotar que permite a un atacante no autenticado con acceso a la red a través de HTTPS comprometer OpenSSL. La explotación exitosa puede dar lugar a un acceso no autorizado para actualizar, insertar o borrar parte de los datos accesibles de OpenSSL, un acceso no autorizado para leer un subconjunto de datos accesibles de OpenSSL, y una capacidad no autorizada para provocar una denegación de servicio parcial de OpenSSL. |
| CVE-2016-1903 | 9.1 | Oracle Secure Backup: PHP | Vulnerabilidad fácilmente explotable que permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer PHP. La explotación exitosa puede resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de PHP y en la capacidad no autorizada de provocar un fallo o un accidente frecuente y repetible (DOS completo) de PHP. |
| CVE-2015-3253 | 9.8 | Oracle Big Data Graph | Vulnerabilidad fácilmente explotable que permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer el componente Spatial. La explotación exitosa puede resultar en la toma de control del componente Spatial. |
Pivotal Greenplum Database 4.3.11.3
Una nueva versión de Greenplum Database contiene los siguientes cambios:
- Se resolvió el problema del gptransfer que ocurría al copiar tablas con múltiples claves de distribución.
- El planificador de consultas podría haber generado un plan que devolviera resultados incorrectos para algunas consultas de ventanas. El problema se ha resuelto.
- Se han solucionado las fallas de las utilidades gpstart/gpstop después de un reinicio del servidor.
- Mejoramientos del rendimiento Optimizador de Consultas, Planificador de Consultas, Ejecución de Consultas, Gestión de Transacciones, Tablas Externas S3.
- Otros mejoramientos y cambios en relación a los siguientes scripts: analyzedb, Copia de seguridad, Restauración, recoverseg, gptransfer.
Resumen de Seguridad de Bases de Datos – Diciembre Resumen de Seguridad de Bases de Datos – Noviembre Resumen de Seguridad de Bases de Datos – Octubre
