Recueil de Sécurité des Bases de Données, Juin-Juillet 2016
Selon le dernier rapport de sécurité d’IBM publié en juin, le coût moyen d’une violation de données a atteint 4 millions de dollars, représentant une augmentation de 29% depuis 2013. Chaque enregistrement perdu ou volé coûte environ 158 dollars aux entreprises. On constate également une augmentation désolante de 64% des incidents de sécurité rapportés. Les résultats du rapport suggèrent que les cyber-attaques s’améliorent et que le piratage devient plus coûteux, ce qui rappelle l’importance d’être à jour en matière de sécurité de l’information. Voici le recueil des mises à jour des SGBD récemment publiées et des informations sur les vulnérabilités les plus importantes corrigées.
Correctifs intensifs d’Oracle
Oracle continue d’étendre sa sphère d’influence en concluant un accord d’une valeur de 9,3 milliards de dollars pour acquérir NetSuite, une entreprise qui vend un groupe de services de logiciels utilisés pour gérer les opérations et les relations avec les clients de plus de 30 000 organisations. Juste avant l’annonce de cette énorme transaction, Oracle a publié la prochaine mise à jour critique planifiée, surpassant son précédent record indésirable pour le nombre de correctifs de sécurité en dépannant 27,6 problèmes sur divers produits, dont Oracle Database Server et Oracle MySQL.
Pour Oracle MySQL, la mise à jour critique contient 22 nouveaux correctifs de sécurité. 3 de ces vulnérabilités (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) peuvent être exploitées à distance sans authentification. Voici la matrice des risques d’Oracle MySQL :
| CVE# | Composant | Sous- composant | Protocole | Exploit à distance sans auth.? | Score de base | Vecteur d’attaque | Complexe d’attaque | Privs Requis | Interaction utilisateur |
| CVE-2016-3477 | Serveur MySQL | Serveur: Parseur | Aucun | Non | 8.1 | Local | Élevé | Aucun | Aucun |
| CVE-2016-3440 | Serveur MySQL | Serveur: Optimiseur | Protocole MySQL | Non | 7.7 | Réseau | Faible | Faible | Aucun |
| CVE-2016-2105 | Serveur MySQL | Serveur: Sécurité: Cryptage | Protocole MySQL | Oui | 7.5 | Réseau | Faible | Aucun | Aucun |
| CVE-2016-3471 | Serveur MySQL | Serveur: Option | Aucun | Non | 7.5 | Local | Élevé | Élevé | Aucun |
| CVE-2016-3486 | Serveur MySQL | Serveur: FTS | Protocole MySQL | Non | 6.5 | Réseau | Faible | Faible | Aucun |
| CVE-2016-3501 | Serveur MySQL | Serveur: Optimiseur | Protocole MySQL | Non | 6.5 | Réseau | Faible | Faible | Aucun |
| CVE-2016-3518 | Serveur MySQL | Serveur: Optimiseur | Protocole MySQL | Non | 6.5 | Réseau | Faible | Faible | Aucun |
| CVE-2016-3521 | Serveur MySQL | Serveur: Type | Protocole MySQL | Non | 6.5 | Réseau | Faible | Faible | Aucun |
| CVE-2016-3588 | Serveur MySQL | Serveur: InnoDB | Protocole MySQL | Non | 5.9 | Réseau | Élevé | Faible | Aucun |
| CVE-2016-3615 | Serveur MySQL | Serveur: DML | Protocole MySQL | Non | 5.3 | Réseau | Élevé | Faible | Aucun |
| CVE-2016-3614 | Serveur MySQL | Serveur: Sécurité: Cryptage | Protocole MySQL | Non | 5.3 | Réseau | Élevé | Faible | Aucun |
| CVE-2016-5436 | Serveur MySQL | Serveur: InnoDB | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-3459 | Serveur MySQL | Serveur: InnoDB | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-5437 | Serveur MySQL | Serveur: Journal | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-3424 | Serveur MySQL | Serveur: Optimiseur | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-5439 | Serveur MySQL | Serveur: Privileges | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-5440 | Serveur MySQL | Serveur: RBR | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-5441 | Serveur MySQL | Serveur: Replication | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-5442 | Serveur MySQL | Serveur: Sécurité: Cryptage | Protocole MySQL | Non | 4.9 | Réseau | Faible | Élevé | Aucun |
| CVE-2016-5443 | Serveur MySQL | Serveur: Connection | Aucun | Non | 4.7 | Local | Élevé | Aucun | Requis |
| CVE-2016-5444 | Serveur MySQL | Serveur: Connection | Protocole MySQL | Oui | 3.7 | Réseau | Élevé | Aucun | Aucun |
| CVE-2016-3452 | Serveur MySQL | Serveur: Sécurité: Cryptage | Protocole MySQL | Oui | 3.7 | Réseau | Élevé | Aucun | Aucun |
Pour le serveur de base de données Oracle, l’Update Critique contient 9 nouveaux correctifs de sécurité. 5 de ces vulnérabilités (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) peuvent être exploitées à distance sans authentification.
Matrice des risques du serveur de base de données Oracle
| CVE# | Composant | Paquet et/ou privilège requis | Protocole | Exploit à distance sans auth.? | Score de base | Vecteur d’attaque | Complexe d’attaque | Privs Requis | Interaction utilisateur |
| CVE-2016-3609 | OJVM | Création de session | Multiple | Non | 9.0 | Réseau | Faible | Faible | Requis |
| CVE-2016-3506 | JDBC | Aucun | Réseau Oracle | Oui | 8.1 | Réseau | Élevé | Aucun | Aucun |
| CVE-2016-3479 | Clusterware portable | Aucun | Réseau Oracle | Oui | 7.5 | Réseau | Faible | Aucun | Aucun |
| CVE-2016-3489 | Importation de pompe à données | Index sur SYS.INCVID | Réseau Oracle | Non | 6.7 | Local | Faible | Élevé | Aucun |
| CVE-2016-3448 | Application Express | Aucun | HTTP | Oui | 6.1 | Réseau | Faible | Aucun | Requis |
| CVE-2016-3467 | Application Express | Aucun | HTTP | Oui | 5.8 | Réseau | Faible | Aucun | Aucun |
| CVE-2015-0204 | RDBMS | Écouteur HTTPS | HTTPS | Oui | 5.3 | Réseau | Élevé | Aucun | Requis |
| CVE-2016-3488 | SDB Fragment | Exécute sur gsmadmin_internal | Réseau Oracle | Non | 4.4 | Local | Faible | Élevé | Aucun |
| CVE-2016-3484 | Coffre-fort de base de données | Créer un synonyme public | Réseau Oracle | Non | 3.4 | Local | Faible | Élevé | Aucun |
En ce qui concerne les autres produits Oracle, dix-neuf vulnérabilités corrigées sur neuf produits différents ont reçu une note de 9,8 sur le CVSS 3.0, ce qui signifie qu’il sera essentiel pour de nombreux utilisateurs d’installer le correctif.
Release de MySQL 5.7.13
MySQL 5.7.13 a été officiellement publié en juin. La nouvelle version de MySQL Server dispose d’une interface SQL pour la gestion des clés de trousseau, qui est implémentée sous forme d’un ensemble de fonctions définies par l’utilisateur (UDFs) qui accèdent aux fonctions fournies par le service de trousseau interne. Voici les vulnérabilités de sécurité corrigées dans la nouvelle version :
CVE-2016-2106 (Conseil de sécurité OpenSSL, gravité faible)Le dépassement d’entier dans la fonction EVP_EncryptUpdate dans crypto/evp/evp_enc.c dans OpenSSL avant 1.0.1t et 1.0.2 avant 1.0.2h permet aux attaquants distants de provoquer un déni de service (corruption de la mémoire heap) via une grande quantité de données.
CVE-2016-2105 (Conseil de sécurité OpenSSL, gravité faible)Dépassement d’entier dans la fonction EVP_EncodeUpdate dans crypto/evp/encode.c dans OpenSSL avant 1.0.1t et 1.0.2 avant 1.0.2h permet aux attaquants distants de provoquer un déni de service (corruption de la mémoire heap) via une grande quantité de données binaires.
CVE-2016-2109 (Conseil de sécurité OpenSSL, gravité faible)La fonction asn1_d2i_read_bio dans crypto/asn1/a_d2i_fp.c dans l’implémentation ASN.1 BIO dans OpenSSL avant 1.0.1t et 1.0.2 avant 1.0.2h permet aux attaquants distants de provoquer un déni de service (consommation de mémoire) via un encodage invalide court.
CVE-2016-2107 (Conseil de sécurité OpenSSL, gravité élevée)L’implémentation AES-NI dans OpenSSL avant 1.0.1t et 1.0.2 avant 1.0.2h ne considère pas l’allocation de mémoire pendant une certaine vérification de remplissage, ce qui permet aux attaquants distants d’obtenir des informations sensibles en clair via une attaque de l’oracle de remplissage contre une session AES CBC, NOTE: cette vulnérabilité existe à cause d’un correctif incorrect pour CVE-2013-0169.
CVE-2016-2176 (Conseil de sécurité OpenSSL, gravité faible)La fonction X509_NAME_oneline dans crypto/x509/x509_obj.c dans OpenSSL avant 1.0.1t et 1.0.2 avant 1.0.2h permet aux attaquants distants d’obtenir des informations sensibles à partir de la mémoire de pile du processus ou de provoquer un déni de service (lecture excessive du tampon) via des données ASN.1 EBCDIC conçues.
Plus de mises à jour
Greenplum Database 4.3.8.1 est une version de maintenance qui n’ajoute pas de nouvelles fonctionnalités, mais elle résout certains problèmes connus et inclut des améliorations de performance et de stabilité, l’utilitaire gpdbrestore, l’utilitaire gpcheckcat, l’utilitaire gpload, le protocole s3 de table externe et l’extension MADlib.
La version alpha de MariaDB 10.2.1 a été publiée en juillet. MariaDB 10.2 est une évolution de MariaDB 10.1 avec de nouvelles fonctionnalités qui ne se trouvent nulle part ailleurs et avec des fonctionnalités réimplémentées à partir de MySQL 5.6 et 5.7. MariaDB 10.2.1 est en état Alpha.
The PostgreSQL Global Development Group a annoncé que PostgreSQL 9.6 Beta 3 est disponible pour le téléchargement. Cette version comprend des aperçus de toutes les fonctionnalités qui seront disponibles dans la version finale de la version 9.6, y compris des corrections à beaucoup des problèmes trouvés dans les bêtas précédentes. La version finale de PostgreSQL sera en 2016.
