DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Revue de la Sécurité des Bases de Données – Septembre 2016

Activités de Piratage

Septembre sera rappelé par une série de piratages et la plus grande attaque DDoS de l’histoire avec un trafic de 620GBps. Selon les spécialistes d’Akamai Technologies, ils n’ont jamais vu un botnet d’une telle capacité auparavant. Il semble que les attaquants DDoS ne restent pas les bras croisés, ils passent à la vitesse supérieure.

Le mois dernier, l’équipe Fancy Bear a de nouveau piraté l’Agence Mondiale Antidopage (AMA). L’attaque précédente avait été réalisée en exploitant une injection SQL, mais celle-ci par détournement de compte. Les données sensibles volées et publiées contiennent des informations médicales sur les athlètes, ce qui a déjà conduit à une série de scandales en raison de la dissimulation de données véridiques par l’agence.

Parmi d’autres événements remarquables, on note de massives fuites de données : Rambler (100 millions de comptes), Last.fm (43 millions de comptes), QIP.ru (33 millions de comptes). Et Yahoo détient le record – 500 millions de comptes !

Yahoo! a été piraté par une équipe de hackers professionnels, qui ont utilisé l’ingénierie sociale pour choisir des cibles parmi les employés de l’entreprise et leur envoyer des emails ou des messages de chat contenant des malwares. Ensuite, ils ont pratiqué du phishing pour obtenir les mots de passe d’autres membres de l’entreprise. Ensuite, les pirates ont accédé à des informations sensibles. L’ensemble de l’opération a duré plus de 2 ans.

Les données volées contiennent des noms de comptes Yahoo mail, adresses email, dates de naissance, numéros de téléphone et mots de passe chiffrés ainsi que des questions et réponses de sécurité chiffrées et non chiffrées qui peuvent aider à pénétrer dans d’autres comptes des victimes. Yahoo recommande aux utilisateurs affectés de changer leurs mots de passe par précaution, car les comptes sont proposés à la vente en ligne.

Sécurité des Bases de Données

Deux nouvelles exploitations sont apparues sur www.exploit-db.com pour MySQL et ses dérivés. La première concerne la divulgation locale des informations d’identification pour MySQL 5.5.45 sur Windows (x64). La seconde est l’exploit de la célèbre CVE-2016-6662 sur MySQL/MarinaDB/PerconaDB. Elle peut être utilisée pour l’exécution de code et l’élévation des privilèges.

Comme d’habitude, le flux massif de vulnérabilités publiées arrive avec la mise à jour de sécurité critique d’Oracle prévue pour la seconde moitié d’octobre. Ce mois-ci, il y a eu deux CVE pour Oracle MySQL.

CVE-2016-5444
Versions affectées : Oracle MySQL 5.5.48, 5.6.29, 5.7.11 et précédentes ; MariaDB avant 10.0.25, 10.1.14
Résumé : Vulnérabilité non spécifiée qui permet aux attaquants à distance d’affecter la confidentialité via des vecteurs liés au Serveur : Connexion.
Gravité CVSS : 3.7 – BASSE

CVE-2016-6662
Versions affectées : Oracle MySQL 5.5.52, 5.6.33, 5.7.15 et antérieures ; MariaDB avant 5.5.51, 10.0.27 et 10.1.17 ; Percona Server avant 5.5.51-38.1, 5.6.32-78.0, 5.7.14-7
Résumé : Permet aux utilisateurs locaux de créer des configurations arbitraires et de contourner certains mécanismes de protection en définissant general_log_file à une configuration my.cnf. Cela peut être utilisé pour exécuter du code arbitraire avec des privilèges root en définissant malloc_lib.
Gravité CVSS : 8.8 – ÉLEVÉE

MySQL

Dans le bulletin du mois précédent, nous avions mentionné la CVE-2016-6662. Le problème a été résolu dans MySQL 5.7.15. Mettez à jour votre SGBD, si vous utilisez encore la version affectée, car l’exploit pour cette vulnérabilité est déjà disponible.

MariaDB

MariaDB 10.1.18 a été publié le mois dernier. Il corrige un certain nombre de bugs connus et de pannes. Depuis 10.1.17, CVE-2016-6662 est également corrigée.

De plus, la version bêta de MariaDB 10.2.2 a été publiée. Elle contient de nouvelles fonctions de fenêtre (LEAD, LAG, NTH_VALUE, FIRST_VALUE, LAST_VALUE), des corrections de bugs et d’autres améliorations par rapport à la version précédente.

Base de Données Greenplum 4.3.9.1

La version de maintenance résout certains problèmes connus et inclut des améliorations de performance et de stabilité, l’utilitaire gpdbstore, l’utilitaire gpcheckcat, l’utilitaire gpload, le protocole s3 des tables externes, les améliorations de l’extension MADlib.

PostgreSQL

PostgreSQL 9.6 a été publié. Des améliorations substantielles de performance ont été apportées, notamment dans le domaine de l’évolutivité sur les serveurs à sockets multi-CPU. D’autres changements incluent :

  • Évitement des analyses de pages inutiles lors des opérations de gel de vacuum
  • Exécution parallèle des balayages séquentiels, des jointures et des agrégats
  • La réplication prend désormais en charge plusieurs serveurs de secours synchrones simultanés
  • Le postgres_fdw prend désormais en charge les jointures, tris, mises à jour et suppressions distantes
  • La recherche en texte intégral peut désormais rechercher des phrases (plusieurs mots adjacents)

En matière de sécurité, dans la nouvelle version, les jointures des tables étrangères ne sont exécutées à distance que lorsque les tables sont accédées sous le même identifiant de rôle. Auparavant, la question de la sécurité pendant ce processus était laissée aux wrappers de données étrangères individuels (FDW). Cela facilitait la création involontaire de failles de sécurité par les FDW.

Les anciennes versions contenaient des vérifications câblées qui déclencheraient un message d’erreur si elles étaient appelées par un non-superutilisateur. Cela a conduit à l’utilisation de rôles de superutilisateur pour des tâches relativement bas niveau. Les vérifications d’erreur sont maintenant remplacées par une révocation plus pratique d’initdb du privilège d’EXECUTION sur ces fonctions. Cela permet aux installations de choisir d’accorder l’utilisation des fonctions à des rôles de confiance qui n’ont pas besoin de tous les privilèges de superutilisateur.

Il existe également une nouvelle opportunité de créer des rôles intégrés (pg_signal_backend). Ils peuvent être utilisés pour accéder à ce qui était auparavant une fonction réservée au superutilisateur.

DataSunrise prend en charge toutes les grandes bases de données et entrepôts de données tels qu’Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata et plus encore. Vous êtes invités à télécharger une version d’essai gratuite si vous souhaitez installer sur vos locaux. Si vous êtes un utilisateur du cloud et exécutez votre base de données sur Amazon AWS ou Microsoft Azure vous pouvez l’obtenir sur le AWS market place ou le Azure market place.

Revue de la Sécurité des Bases de Données – Août

Revue de la Sécurité des Bases de Données – Juin-Juillet

Suivant

Digest de Sécurité de Base de Données – Octobre 2016

Digest de Sécurité de Base de Données – Octobre 2016

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]