DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Resumen de Seguridad de Bases de Datos – Septiembre 2016

Actividad de Hacking

Septiembre será recordado por una serie de hackeos y el ataque DDoS más grande en la historia con un tráfico de 620GBps. Según los especialistas de Akamai Technologies, nunca han visto una botnet de tal capacidad antes. Parece que los atacantes DDoS no están de brazos cruzados, están llevando esto al siguiente nivel.

El mes pasado el grupo Fancy Bear hackeó nuevamente a la Agencia Mundial Antidopaje (WADA). El ataque anterior se realizó explotando la inyección SQL, pero este fue realizado mediante el secuestro de cuentas. Los datos sensibles robados y publicados contienen información médica sobre los atletas, lo cual ya ha llevado a una serie de escándalos debido a la ocultación de datos verídicos por parte de la agencia.

Entre otros eventos notables están las fugas masivas de datos: Rambler (100 millones de cuentas), Last.fm (43 millones de cuentas), QIP.ru (33 millones de cuentas). Y Yahoo tiene el récord – ¡500 millones de cuentas!

Yahoo! fue vulnerado por un equipo profesional de hackers, quienes usaron ingeniería social para elegir objetivos entre los empleados de la compañía y enviarles correos electrónicos o mensajes de chat con malware. Luego realizaron phishing para adquirir las contraseñas de otros miembros de la empresa. Después de eso, los hackers obtuvieron acceso a información sensible. Toda la operación tomó más de 2 años.

Los datos robados contienen nombres de cuentas de correo de Yahoo, direcciones de correo electrónico, fechas de nacimiento, números de teléfono y contraseñas cifradas junto con preguntas y respuestas de seguridad cifradas y en texto plano que pueden ayudar a entrar en otras cuentas de las víctimas. Yahoo recomienda a los usuarios afectados cambiar sus contraseñas como medida de precaución porque las cuentas se ofrecen para la venta en línea.

Seguridad de Bases de Datos

Aparecieron dos nuevos exploits en www.exploit-db.com para MySQL y sus derivados. El primero es para la divulgación de credenciales locales de MySQL 5.5.45 en Windows (x64). El segundo es el exploit del infame CVE-2016-6662 en MySQL/MarinaDB/PerconaDB. Puede ser usado para la ejecución de código y escalada de privilegios.

Como de costumbre, el masivo flujo de vulnerabilidades publicadas solo llega con la Actualización Crítica de Parche de Oracle que viene a finales de octubre. Hubo dos CVE’s para Oracle MySQL este mes.

CVE-2016-5444
Versiones afectadas: Oracle MySQL 5.5.48, 5.6.29, 5.7.11 y versiones anteriores; MariaDB antes de 10.0.25, 10.1.14
Resumen: Vulnerabilidad no especificada que permite a atacantes remotos afectar la confidencialidad a través de vectores relacionados con el servidor: Conexión.
Severidad CVSS: 3.7 – BAJA

CVE-2016-6662
Versiones afectadas: Oracle MySQL 5.5.52, 5.6.33, 5.7.15 y versiones anteriores; MariaDB antes de 5.5.51, 10.0.27 y 10.1.17; Percona Server antes de 5.5.51-38.1, 5.6.32-78.0, 5.7.14-7
Resumen: Permite a usuarios locales crear configuraciones arbitrarias y eludir ciertos mecanismos de protección configurando general_log_file en un archivo de configuración my.cnf. Esto puede aprovecharse para ejecutar código arbitrario con privilegios de root al configurar malloc_lib.
Severidad CVSS: 8.8 – ALTA

MySQL

En el resumen del mes pasado mencionamos CVE-2016-6662. El problema fue resuelto en MySQL 5.7.15. Actualiza tu SGBD, si todavía usas una versión afectada, ya que el exploit para esta vulnerabilidad ya está disponible.

MariaDB

MariaDB 10.1.18 fue lanzado el mes pasado. Soluciona una serie de errores conocidos y fallos. Desde la versión 10.1.17 el CVE-2016-6662 también está solucionado.
Además, la versión beta de MariaDB 10.2.2 fue lanzada. Contiene nuevas funciones de ventana (LEAD, LAG, NTH_VALUE, FIRST_VALUE, LAST_VALUE), corrección de errores y otras mejoras a la versión anterior.

Greenplum Database 4.3.9.1

La versión de mantenimiento resuelve algunos problemas conocidos e incluye mejoras de rendimiento y estabilidad, la utilidad gpdbstore, la utilidad gpcheckcat, la utilidad gpload, el protocolo de tabla externa S3 y mejoras en la extensión MADlib.

PostgreSQL

PostgreSQL 9.6 ha sido lanzado. Se han realizado mejoras sustanciales en el rendimiento, especialmente en el área de escalabilidad en servidores con múltiples sockets de CPU. Otros cambios incluyen:

  • Evitar el escaneo innecesario de páginas durante las operaciones de congelación de vacuums
  • Ejecución paralela de exploraciones secuenciales, uniones y agregados
  • La replicación ahora soporta múltiples servidores standby síncronos simultáneos
  • postgres_fdw ahora soporta uniones remotas, ordenamientos, actualizaciones (UPDATE) y eliminaciones (DELETE)
  • La búsqueda de texto completo ahora puede buscar frases (múltiples palabras adyacentes)

En cuanto a la seguridad, en la nueva versión las uniones de tablas extranjeras se realizan de forma remota solo cuando las tablas se acceden bajo el mismo ID de rol. Anteriormente, la cuestión de la seguridad durante este proceso recaía en envoltorios de datos extranjeros individuales (FDW). Eso facilitaba que los FDW crearan inadvertidamente agujeros de seguridad.

Las versiones antiguas contenían verificaciones cableadas que mostraban un mensaje de error si las llamaba un usuario que no fuera superusuario. Esto llevó al uso de roles de superusuario para tareas relativamente de bajo nivel. Las verificaciones de error se han reemplazado por la revocación initdb más conveniente del privilegio de EJECUTAR en estas funciones. Eso permite a las instalaciones optar por otorgar el uso de funciones a roles de confianza que no necesitan todos los privilegios de superusuario.

Además, hay una nueva oportunidad para crear roles incorporados (pg_signal_backend). Pueden usarse para acceder a funciones que anteriormente eran solo para superusuarios.

DataSunrise admite todas las principales bases de datos y almacenes de datos como Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata y más. Te invitamos a descargar una prueba gratuita si deseas instalarlo en tus instalaciones. En caso de que seas un usuario de la nube y ejecutes tu base de datos en Amazon AWS o Microsoft Azure puedes obtenerlo desde AWS market place o Azure market place.

Resumen de Seguridad de Bases de Datos – Agosto

Resumen de Seguridad de Bases de Datos – Junio-Julio

Siguiente

Resumen de Seguridad en Bases de Datos – Octubre 2016

Resumen de Seguridad en Bases de Datos – Octubre 2016

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]