DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Digest de Seguridad de Bases de Datos – Marzo 2017

El mes pasado, Gemalto publicó los resultados de su investigación sobre violaciones de datos, revelando el aumento del 86% en comparación con 2015. Se han comprometido 1.4 mil millones de registros de datos durante 2016. Para mantenerlo informado sobre las últimas tendencias, hemos combinado las noticias del mes pasado sobre incidentes de seguridad de bases de datos, nuevas vulnerabilidades y parches de sistemas de gestión de bases de datos.

Incidentes de Ciberseguridad

Después de la ola de ataques a MongoDB, el FBI advirtió sobre el aumento de la actividad delictiva dirigida a servidores FTP utilizados por organizaciones médicas y dentales configurados para permitir acceso anónimo sin autenticación. Los administradores deben asegurarse de que EPHI (información de salud protegida electrónicamente) o PII (información de identificación personal) no se almacene en servidores FTP donde el modo anónimo esté habilitado.

Con respecto a la infame mega violación de Yahoo!, EEUU acusa a dos agentes de inteligencia rusos y dos hackers rusos. Uno de los acusados ha sido arrestado en Canadá. La acusación alega que los oficiales del Centro de Seguridad de la Información del FSB se asociaron con ciberdelincuentes para violar la red de Yahoo! y acceder a información de cuentas y datos propietarios sobre la creación de cookies utilizadas para acceder a cuentas de Yahoo!. Según la acusación, el propósito del ataque no era solo la recopilación de inteligencia, sino también el beneficio financiero privado. Mientras tanto, un millón de contraseñas de cuentas de Yahoo! y Gmail están a la venta en la web oscura.

Neiman Marcus ha acordado pagar 1.6 millones de dólares para resolver una violación de datos. En diciembre de 2013, la tienda departamental de lujo estadounidense Neiman Marcus fue atacada, lo que resultó en la exposición de la información de las tarjetas de crédito de sus 350,000 clientes. Así que ahora la empresa tiene que pagar una fortuna por el incumplimiento de la legislación de ciberseguridad.

ABTA, la asociación comercial de viajes que representa a agentes de viajes y operadores turísticos en el Reino Unido, ha alertado a los usuarios sobre una violación de datos. Se cree que 43,000 de sus clientes se han visto afectados. Los datos robados incluyen direcciones de correo electrónico, contraseñas cifradas de clientes de ABTA, datos de contacto de clientes de miembros de ABTA que han utilizado el sitio web para registrar una queja. Según ABTA, la mayoría de las contraseñas estaban cifradas y el riesgo de robo de identidad y fraude en línea es bajo.

Seguridad de Bases de Datos

En la última semana de marzo, Percona anunció el lanzamiento de Percona Server 5.7.17-12 basado en MySQL 5.7.17.

El lanzamiento contiene correcciones de errores y fallos y hay una nueva característica mysqldump que ayuda a hacer copias de seguridad de servidores y recargar archivos de volcado. La característica también resultó contener una vulnerabilidad que se mencionará más adelante.

CVE-2016-5483

Una vulnerabilidad detectada en el utilitario mysqldump de MySQL, que se usa para crear copias de seguridad lógicas de bases de datos. CVE-2016-5483 permite a un atacante ejecutar consultas SQL arbitrarias y comandos de shell cuando se recupera una copia de seguridad utilizando el utilitario mysqldump. Para explotar la vulnerabilidad, un atacante necesita adquirir privilegios para crear tablas.

MariaDB 10.1.22

Aparte de corregir algunos problemas conocidos, la nueva versión de MariaDB parchea dos vulnerabilidades de seguridad:

CVE-2017-3313

Puntuación de severidad CVSS: 4.7

Vulnerabilidad explotable localmente en el servidor MySQL (subcomponente MyISAM). Una vulnerabilidad difícil de explotar que permite a un atacante con bajos privilegios e inicio de sesión en la infraestructura donde se ejecuta el servidor MySQL comprometer el servidor MySQL. Un ataque exitoso puede resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles del servidor MySQL.

CVE-2017-3302

Puntuación de severidad CVSS: 7.5

Una vulnerabilidad explotable remotamente que permite la interrupción del servicio causando un fallo en libmysqlclient.so. Versiones afectadas: MariaDB hasta 5.5.54 y 10.0.29, Oracle MySQL antes de 5.6.21 y 5.7.5.

Nuevas Fallas de Seguridad

CVE-2016-6225

Puntuación de severidad CVSS: 5.9

Se ha encontrado otra vulnerabilidad en xbcrypt en Percona XtraBackup antes de 2.3.6 y 2.4.x antes de 2.4.5. Existe debido a una corrección incompleta para CVE-2013-6394. La herramienta xbcrypt admite la encriptación y desencriptación de las copias de seguridad. Como resultó, no establece adecuadamente el vector de inicialización (IV) para la encriptación, lo que permite a los atacantes dependientes del contexto obtener datos sensibles de archivos de copias de seguridad encriptados a través de un ataque de texto plano elegido. La vulnerabilidad se puede explotar remotamente.

CVE-2017-1150

Puntuación de severidad CVSS: 3.1

Se ha encontrado una nueva vulnerabilidad en IBM DB2 que permite a un atacante autenticado ver tablas que no está autorizado a ver. La vulnerabilidad se puede explotar remotamente y requiere autenticación.

Parche de Seguridad SAP HANA

SAP parchó una serie de vulnerabilidades críticas en su plataforma empresarial basada en la nube HANA. Si se explotan, podrían llevar a un compromiso total del sistema sin autenticación. Un atacante podría robar datos confidenciales en la base de datos, interrumpir procesos clave de negocios y modificar el código HTML para sitios que se ejecutan en HANA XS, incluso sin tener un nombre de usuario o contraseña legítima.

Estas vulnerabilidades afectan al componente de Auto Servicio de Usuario (USS) que permite el auto registro de usuarios, cambio y restablecimiento de contraseñas. El servicio está deshabilitado por defecto, pero algunos usuarios lo activan para permitir el acceso de usuarios externos a capacidades internas.

La vulnerabilidad en USS tiene una calificación de 9.8 por CVSS, lo que permite a un atacante remoto tomar el control total de SAP HANA sin un nombre de usuario y contraseña. Se recomienda encarecidamente desactivar el servicio o aplicar el parche.

Otra vulnerabilidad, la fijación de sesión (8.8 CVSS), permite a un atacante elevar privilegios haciéndose pasar por otro usuario en el sistema.

El Parche de Seguridad de marzo también contiene correcciones para vulnerabilidades de DoS, ejecución remota de código, XSS y de inyección SQL de algunos componentes. Los desarrolladores de SAP recomiendan parchear las bases de datos HANA lo antes posible.

Digest de Seguridad de Bases de Datos – Febrero
Digest de Seguridad de Bases de Datos – Enero
Digest de Seguridad de Bases de Datos – Diciembre

Siguiente

Resumen de seguridad de bases de datos – Abril 2017

Resumen de seguridad de bases de datos – Abril 2017

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]