Resumen de Seguridad en Bases de Datos – Octubre 2016
El último mes ha sido relativamente tranquilo considerando la serie de grandes violaciones de datos en los meses anteriores.
Un hacker llamado Guccifer 2.0, que ya es conocido por filtrar documentos legítimos de organizaciones políticas, ha expuesto archivos de la Fundación Clinton. Él escribió que era solo cuestión de tiempo, ya que el personal de la Fundación Clinton no se preocupaba por la seguridad de la información.
Modern Business Systems sufrió una violación de 58 cuentas de usuario, que involucraba nombres de clientes, correos, direcciones de email y IP, y números de teléfono. La compañía desarrolladora de juegos Evony Gaming comprometió 33 millones de cuentas con nombres de usuario, contraseñas y direcciones de correo electrónico.
Nuevas fallos en MySQL
Se han encontrado dos graves vulnerabilidades de escalado de privilegios en MySQL y sus derivados MariaDB, PerconaDB. Los desarrolladores ya han lanzado actualizaciones para solucionar las fallas. CVE-2016-6663 y CVE-2016-6664 (rastreados por Oracle como CVE-2016-5616 y CVE-2016-5617 respectivamente).
CVE-2016-6663 facilita la explotación de CVE-2016-6662. Es una condición de carrera que permite a usuarios con pocos privilegios escalar privilegios y ejecutar código arbitrario como un usuario del sistema de bases de datos. Puede ser explotado por atacantes que logran encontrar una vulnerabilidad en un sitio web y obtener acceso al sistema objetivo como un usuario con pocos privilegios. También puede ser usado en un entorno de alojamiento compartido donde cada usuario solo puede acceder a una cierta base de datos.
Según el experto que detectó la falla, CVE-2016-6663 puede usarse junto con CVE-2016-6662 o CVE-2016-6664 para obtener privilegios de root y comprometer todo el sistema objetivo. El exploit está disponible gratuitamente en el dominio público, incluso hay un video mostrando cómo se debe hacer. Con esto en mente, los usuarios de las plataformas afectadas deben instalar parches lo más pronto posible.
Las vulnerabilidades afectan a las versiones de Oracle MySQL 5.5.51, 5.6.32, 5.7.14 y anteriores. La actualización crítica de octubre soluciona ambos problemas. Percona anunció que ha actualizado Percona Server para tratar las vulnerabilidades anteriores. MariaDB ha corregido CVE-2016-6663 y ha dejado CVE-2016-6664 hasta la próxima versión de mantenimiento, argumentando que no es explotable por sí mismo.
Arreglos de Oracle
Oracle anunció el lanzamiento de Actualización de Parche Crítico el 18 de octubre, eliminando 253 vulnerabilidades en varias plataformas. En cuanto a Oracle Database Server, tiene 12 correcciones de seguridad. Una de las vulnerabilidades puede ser explotada remotamente sin requerir credenciales de usuario.
CVE# | Componente | Paquete y/o Privilegios Requeridos | Protocolo | ¿Explotación Remota Sin Autenticación? | Puntuación Base | Vector de Ataque | Privilegios requeridos |
CVE-2016-5555 | OJVM | Crear Sesión, Crear Procedimiento | Múltiple | No | 9.1 | Red | Alto |
CVE-2016-5572 | Kernel PDB | Crear Sesión | Oracle Net | No | 6.4 | Local | Alto |
CVE-2016-5497 | RDBMS Security | Crear Sesión | Oracle Net | No | 6.4 | Local | Alto |
CVE-2010-5312 | Application Express | Ninguno | HTTP | Sí | 6.1 | Red | Ninguno |
CVE-2016-5516 | Kernel PDB | Ejecutar en DBMS_PDB_EXEC_SQL | Oracle Net | No | 6.0 | Local | Alto |
CVE-2016-5505 | RDBMS Programmable Interface | Crear Sesión | Oracle Net | No | 5.5 | Local | Bajo |
CVE-2016-5498 | RDBMS Security | Crear Sesión | Oracle Net | No | 3.3 | Local | Bajo |
CVE-2016-5499 | RDBMS Security | Crear Sesión | Oracle Net | No | 3.3 | Local | Bajo |
CVE-2016-3562 | RDBMS Security and SQL*Plus | Cuenta con nivel de privilegios de DBA | Oracle Net | No | 2.4 | Red | Alto |
Oracle MySQL
31 correcciones de seguridad para Oracle MySQL en esta actualización. 2 de ellas pueden ser explotadas de forma remota sin autenticación.
CVE# | Componente | Sub-componente | Protocolo | ¿Explotación Remota Sin Autenticación? | Puntuación Base | Vector de Ataque | Privilegios requeridos |
CVE-2016-6304 | MySQL Server | Server: Seguridad: Cifrado | Protocolo MySQL | Sí | 7.5 | Red | Ninguno |
CVE-2016-6662 | MySQL Server | Server: Registro | Ninguno | No | 7.2 | Local | Alto |
CVE-2016-5617 | MySQL Server | Server: Manejo de Errores | Ninguno | No | 7.0 | Local | Bajo |
CVE-2016-5616 | MySQL Server | Server: MyISAM | Ninguno | No | 7.0 | Local | Bajo |
CVE-2016-5625 | MySQL Server | Server: Empaquetado | Ninguno | No | 7.0 | Local | Bajo |
CVE-2016-5609 | MySQL Server | Server: DML | Protocolo MySQL | No | 6.5 | Red | Bajo |
CVE-2016-5612 | MySQL Server | Server: DML | Protocolo MySQL | No | 6.5 | Red | Bajo |
CVE-2016-5624 | MySQL Server | Server: DML | Protocolo MySQL | No | 6.5 | Red | Bajo |
CVE-2016-5626 | MySQL Server | Server: GIS | Protocolo MySQL | No | 6.5 | Red | Bajo |
CVE-2016-3492 | MySQL Server | Server: Optimizador | Protocolo MySQL | No | 6.5 | Red | Bajo |
CVE-2016-5598 | MySQL Connector | Connector/Python | Protocolo MySQL | Sí | 5.6 | Red | Ninguno |
CVE-2016-7440 | MySQL Server | Server: Seguridad: Cifrado | Ninguno | No | 5.1 | Local | Ninguno |
CVE-2016-5628 | MySQL Server | Server: DML | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5629 | MySQL Server | Server: Federated | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-3495 | MySQL Server | Server: InnoDB | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5630 | MySQL Server | Server: InnoDB | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5507 | MySQL Server | Server: InnoDB | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5631 | MySQL Server | Server: Memcached | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5632 | MySQL Server | Server: Optimizador | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5633 | MySQL Server | Server: Performance Schema | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5634 | MySQL Server | Server: RBR | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-5635 | MySQL Server | Server: Seguridad: Auditoría | Protocolo MySQL | No | 4.9 | Red | Alto |
CVE-2016-8289 | MySQL Server | Server: InnoDB | Ninguno | No | 4.7 | Local | Alto |
CVE-2016-8287 | MySQL Server | Server: Replicación | Protocolo MySQL | No | 4.5 | Red | Alto |
CVE-2016-8290 | MySQL Server | Server: Performance Schema | Protocolo MySQL | No | 4.4 | Red | Alto |
CVE-2016-5584 | MySQL Server | Server: Seguridad: Cifrado | Protocolo MySQL | No | 4.4 | Red | Alto |
CVE-2016-8283 | MySQL Server | Server: Teipos | Protocolo MySQL | No | 4.3 | Red | Bajo |
CVE-2016-8288 | MySQL Server | Server: InnoDB Plugin | Protocolo MySQL | No | 3.1 | Red | Bajo |
CVE-2016-8286 | MySQL Server | Server: Securidad: Privilegios | Protocolo MySQL | No | 3.1 | Red | Bajo |
CVE-2016-8284 | MySQL Server | Server: Replicación | Ninguno | No | 1.8 | Local | Alto |
Base de Datos Greenplum 4.3.10.0
La actualización introduce tablas escribibles S3, resuelve problemas conocidos e incluye algunas mejoras y cambios.
Especificar una tabla externa con símbolos de protocolo gphdfs \\, ‘, <,> representaba una posible vulnerabilidad de seguridad. El problema ha sido resuelto.
MariaDB 10.0.28
La nueva versión incluye actualizaciones para XtraDB, TokuDB, Innodb, Performance Schema y arreglos para una serie de vulnerabilidades de seguridad:
CVE-2016-5616 (CVE-2016-6663 por Oracle) Permite a los usuarios locales afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con Server: MyISAM. Puntuación CVSS: 7.0
CVE-2016-5624 Permite a los usuarios autenticados remotos afectar la disponibilidad a través de vectores relacionados con DML. Puntuación CVSS: 6.5
CVE-2016-5626 Permite a los usuarios autenticados remotos afectar la disponibilidad a través de vectores relacionados con GIS.
Puntuación CVSS: 6.5CVE-2016-3492 Permite a los usuarios autenticados remotos afectar la disponibilidad a través de vectores relacionados con Server: Optimizer. Puntuación CVSS: 6.5
CVE-2016-5629 Permite a los administradores remotos afectar la disponibilidad a través de vectores relacionados con Server: Federated. Puntuación CVSS: 4.9
CVE-2016-7440 – vulnerabilidad no especificada.
CVE-2016-5584 Permite a los administradores remotos afectar la confidencialidad a través de vectores relacionados con Server: Security: Encryption. Puntuación CVSS: 4.4
MySQL 5.6.34
El nuevo lanzamiento contiene mejoras de seguridad respecto a la variable de sistema secure_file_priv, que se utiliza para limitar el efecto de las operaciones de importación y exportación de datos. Ahora se puede establecer en NULL para desactivar todas las operaciones de importación/exportación. El servidor ahora verifica el valor de secure_file_priv al iniciar y registra una advertencia en el registro de errores si el valor no es seguro. Anteriormente, la variable de sistema secure_file_priv estaba vacía por defecto. Ahora, el valor por defecto se establece de acuerdo con el valor de la opción INSTALL_LAYOUT de CMake. Puedes encontrar información más detallada en las notas de la versión.
Percona Server 5.7.15-9
Basado en MySQL 5.7.15, incluyendo todas las correcciones de errores en él, Percona Server 5.7.14-8 es la actual versión GA (Generalmente Disponible) en la serie Percona Server 5.7. La actualización contiene una serie de correcciones de errores, incluyendo la corrección de fugas de hilos esclavos que sucedían en caso de fallo en la creación de hilos. También se eliminan fugas de memoria en el Plugin de Registro de Auditoría.
Resumen de Seguridad en Bases de Datos – Septiembre Resumen de Seguridad en Bases de Datos – Agosto Resumen de Seguridad en Bases de Datos – Junio-Julio