DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de Sécurité des Bases de Données – Août 2017

Incidents de Sécurité des Bases de Données

Le revendeur de matériel et logiciels de seconde main CeX a subi une violation de sécurité compromettant les données personnelles de jusqu’à 2 millions de clients, y compris les noms, adresses physiques et électroniques, numéros de téléphone et possiblement les données cryptées de cartes de crédit expirées jusqu’en 2009, époque à laquelle CeX a cessé de stocker les données financières.

Un ensemble de données personnelles d’électeurs a été exposé par un fournisseur de systèmes de gestion des élections et de machines de vote Election Systems & Software. Par défaut, les conteneurs Amazon nécessitent une authentification, mais d’une manière ou d’une autre, ils ont réussi à mal configurer un conteneur Amazon contenant une base de données de sauvegarde avec 1,8 million d’enregistrements (noms, adresses, dates de naissance, numéros de permis de conduire, numéros de sécurité sociale et numéros d’identification d’État).

Un autre exemple du manque d’organisation en cybersécurité est l’agence littéraire Bell Lomax Moreton qui a exposé des milliers de fichiers sensibles y compris les données des clients, les paiements des droits d’auteur et même des livres non publiés. Les données étaient exposées en ligne sur le disque de sauvegarde mal configuré ne nécessitant ni nom d’utilisateur ni mot de passe pour la visualisation des données sensibles de l’entreprise.

Une entreprise appelée Power Quality Engineering a exposé publiquement des données sensibles, y compris les points faibles potentiels des systèmes électriques des clients ainsi que les configurations et emplacements de certaines zones de transmission d’intelligence top secret. La fuite s’est produite à cause du port ouvert utilisé par un utilitaire de synchronisation à distance rsync.

Une campagne massive de logiciels malveillants a entraîné la violation de plus de 711 millions d’enregistrements d’emails y compris des mots de passe. Le dépôt a été trouvé sur un serveur accessible publiquement et non sécurisé hébergé aux Pays-Bas. Les enregistrements volés semblent avoir été obtenus lors de précédentes violations de données.

Un hacker inconnu prétend avoir volé 11 millions d’enregistrements de la base de données contenant les données personnelles des clients du National Health Service en exploitant des failles logicielles non corrigées. Cependant, les autorités de cybersécurité du NHS ont rapporté que seuls 35 501 lignes de données administratives ont été accédées. L’enquête est en cours.

La plateforme d’investissement et de trading en cryptomonnaie Enigma a été piratée juste avant une vente de jetons crypto lors d’une prévente ICO. Les hackers ont créé une fausse adresse ETH et ont inondé le canal Slack et la newsletter par email d’Enigma avec des instructions pour des pièces de prévente. Les utilisateurs ont été trompés et ont envoyé environ 500 000 $ à la fausse adresse ETH. L’incident est assez similaire à l’attaque de CoinDash survenue le mois précédent.

WikiLeaks a publié un autre ensemble de documents de la CIA avec des détails sur le programme de l’agence “ExpressLane” supposé être développé pour collecter des données biométriques de la FBI, de la NSA, du Department of Homeland Security et d’autres agences américaines.

Fancy Bear, un groupe de hackers prétendument lié au Kremlin, a exposé les noms des joueurs de football britanniques ayant échoué à des tests de dopage en 2015 et autorisés à utiliser des médicaments interdits lors de la Coupe du monde 2010.

Vulnérabilités de Sécurité des Bases de Données et Mises à Jour RDBMS

PostgreSQL

CVE-2017-7548
Score de Base CVSS v3: 7.5
Description: Une faille d’autorisation dans les versions de PostgreSQL antérieures à 9.4.13, 9.5.8 et 9.6.4 qui permet à un attaquant sans privilèges sur de grands objets de réécrire le contenu de l’objet causant un déni de service. Elle peut être exploitée par le réseau et nécessite une authentification.

CVE-2017-7547
Score de Base CVSS v3: 8.8
Versions Affectées: Versions de PostgreSQL antérieures à 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4.
Description: Une faille d’autorisation qui permet à un attaquant de récupérer les mots de passe des mappages utilisateur définis par les propriétaires de serveurs externes. Elle est exploitable à distance avec authentification.

CVE-2017-7546
Score de Sévérité CVSS: 9.8
Versions Affectées: Versions de PostgreSQL antérieures à 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4.
Description: Une faille d’authentification incorrecte permettant à un attaquant distant d’accéder aux comptes de la base de données sans mots de passe attribués. La vulnérabilité est exploitable à distance sans authentification.

MS SQL Server

CVE-2017-8516
Score de Sévérité CVSS: 7.5
Versions Affectées: Microsoft SQL Server 2012, Microsoft SQL Server 2014, Microsoft SQL Server 2016
Description: Microsoft SQL Server Analysis Services permet une vulnérabilité de divulgation d’information lorsqu’il applique incorrectement les autorisations. Exploitable à distance sans authentification.

Microsoft Azure, SAP HANA

CVE-2017-9655

Score de Sévérité CVSS: 5.4

Versions Affectées:Microsoft Azure avant 2016 R2 SP1, SAP HANA avant 2017, Business Analytics avant 2016 R2.

Description: Un problème de Cross-Site Scripting dans OSIsoft PI Integrator. Une exploitation réussie permet à un attaquant de télécharger un script malveillant qui redirige les utilisateurs vers un site web malveillant. La vulnérabilité est exploitable à distance, nécessitant une authentification.

Mises à Jour RDBMS

Greenplum Database 4.3.16.1 Release. Une nouvelle version de la base de données Pivotal Greenplum supporte le protocole s3 pour les proxys, contient également des modules de science des données en Python open source et des bibliothèques R qui peuvent être installées en option.
Le répartiteur de traitement des requêtes de la base de données Greenplum a été amélioré, il sélectionne désormais une instance de segment aléatoire comme bande de lecture unique pour la consolidation et la distribution des données. Cela aide à distribuer la charge et donc à augmenter les performances.

PostgreSQL 9.6.5 Release.

Percona-Server-5.7.19-17 s’appuie sur MySQL 5.7.19 et inclut toutes les corrections de bugs.

Digest de Sécurité des Bases de Données – Juillet
Digest de Sécurité des Bases de Données – Juin
Digest de Sécurité des Bases de Données – Mai

Suivant

Digest de la Sécurité des Bases de Données – Septembre 2017

Digest de la Sécurité des Bases de Données – Septembre 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]