DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Digest de Sécurité des Bases de Données – Août 2016

Le mois d’août a été très animé pour les experts en cybersécurité. Deux grandes conférences, Black Hat et DefCon, ont eu lieu à Las Vegas, révélant au monde les dernières menaces de sécurité et les vulnérabilités zero-day. Les hackers et les gourous de la sécurité ont discuté des menaces à venir, une attention particulière a été portée aux menaces pour les applications mobiles, à la sécurité des protocoles internet, aux méthodes de piratage des produits dédiés à l’Internet des Objets, aux programmes de chasse aux bugs avec des récompenses assez conséquentes, aux piratages de réseaux sociaux et même aux drones portables permettant de pirater à distance sans avoir besoin de s’approcher de la cible. Des descriptions détaillées des présentations des participants peuvent être trouvées sur les sites officiels de Black Hat et DefCon.

Menace Sérieuse pour MySQL

Les informations récemment publiées à propos de multiples vulnérabilités sévères de MySQL ont fait beaucoup de bruit. La plus critique d’entre elles (CVE-2016-6662) permet aux hackers d’attaquer le serveur MySQL localement ou à distance et d’obtenir des privilèges root. Exploiter cette vulnérabilité nécessite plusieurs conditions : un attaquant doit avoir un accès authentifié ou effectuer une autre attaque sur les applications web afin d’injecter un code SQL. Cette vulnérabilité apparaît dans MySQL et ses produits dérivés, y compris Percona Server et MariaDB. Elle représente une menace sérieuse pour la sécurité, c’est pourquoi les vendeurs recommandent fortement de mettre à jour le SGBD à la dernière version. Le problème est résolu dans MySQL 5.7.15, 5.6.33 et 5.5.52, MariaDB 10.0.27, 10.1.17 et Percona Server 5.7.14-7.

En plus d’éliminer la vulnérabilité critique, MySQL 5.7.15 corrige certains bugs connus et ajoute plusieurs nouvelles fonctions. Une option de configuration dynamique est incluse, permettant de désactiver la détection des blocages. Une autre nouvelle option aide à contrôler la sélection de la bibliothèque LZ4. Le script de support système pour le fichier d’unité (mysqld_pre_systemd) a été changé et il assiste désormais dans la création du fichier de journal des erreurs uniquement si son emplacement correspond au motif /var/log/mysql*.log. Le script mis à jour empêche la création de fichiers temporaires non sécurisés. De plus, en ce qui concerne la sécurité, le nouveau MySQL a le plugin validate_password qui prend en charge la capacité de refuser les mots de passe qui coïncident avec le nom de l’utilisateur actuel de la session. Le plugin expose la variable système validate_password_check_user_name afin de permettre le contrôle de cette capacité.

Oracle

Comme la prochaine mise à jour critique de sécurité par Oracle ne sera publiée qu’en octobre, la plupart des vulnérabilités de sécurité actuelles qui vont être corrigées restent masquées. En voici une détectée et publiée le mois dernier.

CVE-2016-6298

La classe _Rsa15 dans l’implémentation de l’algorithme RSA 1.5 dans jwa.py de jwcrypto avant la version 0.3.2 manque du mécanisme de protection de remplissage aléatoire, ce qui facilite pour les attaquants distants l’obtention de données en clair via une attaque Mille Messages (MMA).

Quant aux autres systèmes de gestion de bases de données, plusieurs mises à jour ont été publiées le mois dernier, y compris MariaDB 10.1.17, PostgreSQL 9.4, Greenplum Database 4.3.9.0.

Mise à Jour de Sécurité pour PostgreSQL

La mise à jour ferme deux failles de sécurité et corrige un certain nombre de bugs signalés au cours des derniers mois. Les vulnérabilités sont décrites ci-dessous :

CVE-2016-5423

Évaluation incorrecte possible des expressions nested CASE-WHEN. Une expression CASE apparaissant dans la sous-expression de valeur de test d’une autre expression CASE pourrait devenir confuse quant à savoir si sa propre valeur de test était nulle ou non. De plus, l’inline d’une fonction SQL implémentant l’opérateur d’égalité utilisé par une expression CASE pourrait entraîner le passage de la mauvaise valeur de test aux fonctions appelées dans une expression CASE dans le corps de la fonction SQL. Si les valeurs de test étaient de types de données différents, un crash pourrait se produire; de telles situations pourraient être abusées pour divulguer une partie de la mémoire du serveur.

CVE-2016-5424

Les noms de bases de données et de rôles contenant des caractères spéciaux intégrés peuvent permettre une injection de code lors d’opérations administratives comme pg_dumpall. De nombreuses adresses dans vacuumdb et d’autres programmes clients pourraient être confondues avec les noms de bases de données et de rôles contenant des guillemets doubles ou des barres obliques inverses. Les règles de citation ont été renforcées pour rendre cela sûr. La méthode de traitement des guillemets doubles appariés dans les commandes \connect et \password de psql est corrigée pour correspondre à la documentation. Une nouvelle option -reuse-previous dans la commande \connect de psql est introduite pour permettre le contrôle explicite de la réutilisation des paramètres de connexion d’une connexion précédente. Sans cela, le choix se base sur si le nom de la base de données ressemble à une chaîne de connexion, comme auparavant. Cela permet une gestion sécurisée des noms de bases de données contenant des caractères spéciaux dans les scripts pg_dumpall.

Ces corrections sont considérées comme des correctifs de sécurité car des noms d’objets conçus contenant des caractères spéciaux auraient pu être utilisés pour exécuter des commandes avec des privilèges superutilisateurs juste après qu’un superutilisateur exécute pg_dumpall ou d’autres opérations de maintenance de routine.

MariaDB 10.1.17

Il s’agit d’une version Stable (GA), comme mentionné ci-dessus, elle corrige la vulnérabilité CVE-2016-6662. D’autres changements ont affecté le cluster Galera, notamment la mise à jour de la bibliothèque, l’augmentation de la valeur par défaut de wseo_max_ws_size de 1 Go à 2 Go, la prise en charge de la variable système wsrep_max_ws_rows. Plusieurs bugs ont été corrigés ; le moteur CONNECT prend désormais en charge le type de table JBDC ; XtraDB, TokuDB, InnoDB et Performance Schema ont été mis à jour.

Greenplum Database 4.3.9.0

La maintenance inclut certains changements et améliorations. Elle a été principalement causée par les bugs suivants qui ont été résolus dans la nouvelle version :
Bug 1238749 – Modifications de rhashtable rétroportées depuis upstream
Bug 1316093 – Journaux de marionnettes manquants dans /var/log/remote (Rétroport de da314c9923fe et 1f770c0a09 dans RHEL-7)

Les problèmes résolus sont liés à l’optimisation des requêtes, aux langages de dispatch : R et PL/R, aux scripts de sauvegarde et restauration, à la gestion des ressources, à l’exécution des requêtes, au dispatch et à la table externe S3.

Digest de Sécurité des Bases de Données – Juin-Juillet

Suivant

Revue de la Sécurité des Bases de Données – Septembre 2016

Revue de la Sécurité des Bases de Données – Septembre 2016

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]