Resumen de Seguridad de Bases de Datos, Junio-Julio 2016
Según el último informe de seguridad de IBM publicado este junio, el coste medio de una violación de datos alcanzó los $4 millones, representando un aumento del 29% desde 2013. Cada registro perdido o robado cuesta a las corporaciones aproximadamente $158. También se registra un desalentador aumento del 64% en los incidentes de seguridad reportados. Los resultados del informe sugieren que los ciberataques están mejorando y ser hackeado se vuelve más caro, lo que recuerda la importancia de estar al día en lo que se refiere a la seguridad de la información. Aquí está el resumen de las actualizaciones de DBMS recientemente publicadas y la información sobre las vulnerabilidades más importantes solucionadas.
Intenso parcheo por Oracle
Oracle continúa extendiendo la esfera de su influencia al alcanzar un acuerdo valorado en $9.3 mil millones para adquirir NetSuite, una compañía que vende un grupo de servicios de software usados para gestionar las operaciones y relaciones con los clientes de más de 30,000 organizaciones. Justo antes del gran anuncio de la adquisición, Oracle lanza la próxima Actualización de Parche Crítico programada, superando su previo indeseado récord en el número de correcciones de seguridad al solucionar 27.6 problemas en varios productos, incluyendo Oracle Database Server y Oracle MySQL.
Para Oracle MySQL la Actualización de Parche Crítico contiene 22 nuevas correcciones de seguridad. 3 de estas vulnerabilidades (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) pueden ser explotadas remotamente sin autenticación. Aquí está la matriz de riesgo de Oracle MySQL:
| CVE# | Componente | Subcomponente | Protocolo | Explotación remota sin Aut.? | Puntuación Base | Vector de Ataque | Complejidad de Ataque | Priv. Req. | Interacción de Usuario | |||||
| CVE-2016-3477 | Servidor MySQL | Servidor: Analizador | Ninguno | No | 8.1 | Local | Alta | Ninguno | Ninguno | |||||
| CVE-2016-3440 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 7.7 | Red | Baja | Baja | Ninguno | |||||
| CVE-2016-2105 | Servidor MySQL | Servidor: Seguridad: Encriptación | Protocolo MySQL | Sí | 7.5 | Red | Baja | Ninguno | Ninguno | |||||
| CVE-2016-3471 | Servidor MySQL | Servidor: Opción | Ninguno | No | 7.5 | Local | Alta | Alta | Ninguno | |||||
| CVE-2016-3486 | Servidor MySQL | Servidor: FTS | Protocolo MySQL | No | 6.5 | Red | Baja | Baja | Ninguno | |||||
| CVE-2016-3501 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 6.5 | Red | Baja | Baja | Ninguno | |||||
| CVE-2016-3518 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 6.5 | Red | Baja | Baja | Ninguno | |||||
| CVE-2016-3521 | Servidor MySQL | Servidor: Tipos | Protocolo MySQL | No | 6.5 | Red | Baja | Baja | Ninguno | |||||
| CVE-2016-3588 | Servidor MySQL | Servidor: InnoDB | Protocolo MySQL | No | 5.9 | Red | Alta | Baja | Ninguno | |||||
| CVE-2016-3615 | Servidor MySQL | Servidor: DML | Protocolo MySQL | No | 5.3 | Red | Alta | Baja | Ninguno | |||||
| CVE-2016-3614 | Servidor MySQL | Servidor: Seguridad: Encriptación | Protocolo MySQL | No | 5.3 | Red | Alta | Baja | Ninguno | |||||
| CVE-2016-5436 | Servidor MySQL | Servidor: InnoDB | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-3459 | Servidor MySQL | Servidor: InnoDB | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-5437 | Servidor MySQL | Servidor: Registro | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-3424 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-5439 | Servidor MySQL | Servidor: Privilegios | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-5440 | Servidor MySQL | Servidor: RBR | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-5441 | Servidor MySQL | Servidor: Replicación | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-5442 | Servidor MySQL | Servidor: Seguridad: Encriptación | Protocolo MySQL | No | 4.9 | Red | Baja | Alta | Ninguno | |||||
| CVE-2016-5443 | Servidor MySQL | Servidor: Conexión | Ninguno | No | 4.7 | Local | Alta | Ninguno | Requerida | |||||
| CVE-2016-5444 | Servidor MySQL | Servidor: Conexión | Protocolo MySQL | Sí | 3.7 | Red | Alta | Ninguno | Ninguno | |||||
| CVE-2016-3452 | Servidor MySQL | Servidor: Seguridad: Encriptación | Protocolo MySQL | Sí | 3.7 | Red | Alta | Ninguno | Ninguno | |||||
Para el Servidor de Base de Datos Oracle la Actualización de Parche Crítico contiene 9 nuevas correcciones de seguridad. 5 de estas vulnerabilidades (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) pueden ser explotadas remotamente sin autenticación.
Matriz de Riesgo del Servidor de Base de Datos Oracle
| CVE# | Componente | Paquete y/o Privilegio requerido | Protocolo | Explotación remota sin Aut.? | Puntuación Base | Vector de Ataque | Complejidad de Ataque | Priv. Req. | Interacción de Usuario | |||||
| CVE-2016-3609 | OJVM | Crear Sesión | Múltiples | No | 9.0 | Red | Baja | Baja | Requerida | |||||
| CVE-2016-3506 | JDBC | Ninguno | Oracle Net | Sí | 8.1 | Red | Alta | Ninguno | Ninguno | |||||
| CVE-2016-3479 | Portable Clusterware | Ninguno | Oracle Net | Sí | 7.5 | Red | Baja | Ninguno | Ninguno | |||||
| CVE-2016-3489 | Data Pump Import | Índice en SYS.INCVID | Oracle Net | No | 6.7 | Local | Baja | Alta | Ninguno | |||||
| CVE-2016-3448 | Application Express | Ninguno | HTTP | Sí | 6.1 | Red | Baja | Ninguno | Requerida | |||||
| CVE-2016-3467 | Application Express | Ninguno | HTTP | Sí | 5.8 | Red | Baja | Ninguno | Ninguno | |||||
| CVE-2015-0204 | RDBMS | HTTPS Listener | HTTPS | Sí | 5.3 | Red | Alta | Ninguno | Requerida | |||||
| CVE-2016-3488 | DB Sharding | Ejecutar en gsmadmin_internal | Oracle Net | No | 4.4 | Local | Baja | Alta | Ninguno | |||||
| CVE-2016-3484 | Database Vault | Crear Sinónimo Público | Oracle Net | No | 3.4 | Local | Baja | Alta | Ninguno | |||||
En cuanto a los otros productos de Oracle, diecinueve vulnerabilidades solucionadas en nueve productos diferentes tienen una calificación de 9.8 por CVSS 3.0, teniendo esto en cuenta, para muchos usuarios será esencial instalar el parche.
Lanzamiento de MySQL 5.7.13
MySQL 5.7.13 fue lanzado oficialmente en junio. La nueva versión del Servidor MySQL tiene una interfaz SQL para la gestión de llaves de keyring, la cual está implementada como un conjunto de funciones definidas por el usuario (UDFs) que acceden a las funciones proporcionadas por el servicio keyring interno. Aquí están las vulnerabilidades de seguridad solucionadas en la nueva versión:
CVE-2016-2106 (Aviso de OpenSSL, baja gravedad)Desbordamiento entero en la función EVP_EncryptUpdate en crypto/evp/evp_enc.c en OpenSSL antes de 1.0.1t y 1.0.2 antes de 1.0.2h permite a atacantes remotos causar una denegación de servicio (corrupción de memoria del heap) vía gran cantidad de datos.
CVE-2016-2105 (Aviso de OpenSSL, baja gravedad)Desbordamiento entero en la función EVP_EncodeUpdate en crypto/evp/encode.c en OpenSSL antes de 1.0.1t y 1.0.2 antes de 1.0.2h permite a atacantes remotos causar una denegación de servicio (corrupción de la memoria del heap) vía gran cantidad de datos binarios.
CVE-2016-2109 (Aviso de OpenSSL, baja gravedad)La función asn1_d2i_read_bio en crypto/asn1/a_d2i_fp.c en la implementación ASN.1 BIO en OpenSSL antes de 1.0.1t y 1.0.2 antes de 1.0.2h permite a atacantes remotos causar una denegación de servicio (consumo de memoria) vía una corta codificación inválida.
CVE-2016-2107 (Aviso de OpenSSL, alta gravedad)La implementación AES-NI en OpenSSL antes de 1.0.1t y 1.0.2 antes de 1.0.2h no considera la asignación de memoria durante una cierta verificación de relleno, lo que permite a atacantes remotos obtener información sensible en texto claro vía un ataque de relleno-oráculo contra una sesión AES CBC, NOTA: esta vulnerabilidad existe debido a una corrección incorrecta para CVE-2013-0169.
CVE-2016-2176 (Aviso de OpenSSL, baja gravedad)La función X509_NAME_oneline en crypto/x509/x509_obj.c en OpenSSL antes de 1.0.1t y 1.0.2 antes de 1.0.2h permite a atacantes remotos obtener información sensible de la memoria del proceso o causar una denegación de servicio (lectura en exceso de búfer) vía datos EBCDIC ASN.1 artesanales.
Más Actualizaciones
Base de Datos Greenplum 4.3.8.1 es un lanzamiento de mantenimiento que no añade nuevas características, pero resuelve algunos problemas conocidos e incluye mejoras de rendimiento y estabilidad, utilidad gpdbrestore, utilidad gpcheckcat, utilidad gpload, protocolo s3 de tabla externa y extensión MADlib.
La versión alfa de MariaDB 10.2.1 fue lanzada en julio. MariaDB 10.2 es una evolución de MariaDB 10.1 con algunas nuevas características que no se encuentran en otro lugar y con características reimplementadas de MySQL 5.6 y 5.7. MariaDB 10.2.1 está en un estado Alfa.
El Grupo de Desarrollo Global de PostgreSQL anunció que PostgreSQL 9.6 Beta 3 está disponible para descargar. Este lanzamiento incluye previsualizaciones de todas las características que estarán disponibles en la versión final 9.6, incluyendo correcciones a muchos de los problemas encontrados en las betas anteriores. La versión final de PostgreSQL será a finales de 2016.
