DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de la Sécurité des Bases de Données – Mars 2017

Le mois dernier, Gemalto a publié les résultats de leur recherche sur les violations de données, révélant une augmentation de 86 % par rapport à 2015. 1,4 milliard de dossiers de données ont été compromis en 2016. Pour vous tenir informé des dernières tendances, nous avons combiné les actualités du mois dernier sur les incidents de sécurité des bases de données, les nouvelles vulnérabilités et les correctifs des systèmes de gestion de bases de données.

Incidents de Cybersécurité

Après la vague d’attaques MongoDB, le FBI a mis en garde contre l’augmentation de l’activité criminelle ciblant les serveurs FTP utilisés par les organisations médicales et dentaires configurés pour permettre un accès anonyme sans authentification. Les administrateurs doivent s’assurer que les EPHI (informations de santé protégées électroniques) ou les PII (informations personnellement identifiables) ne sont pas stockées sur des serveurs FTP où le mode anonyme est activé.

Concernant la célèbre violation de Yahoo!, les États-Unis inculpent deux agents de renseignement russes et deux hackers russes. L’un des accusés a été arrêté au Canada. L’acte d’accusation allègue que des officiers du Centre de sécurité de l’information du FSB se sont associés à des cybercriminels pour pénétrer le réseau de Yahoo! et accéder à des informations de compte et données propriétaires sur la création de cookies utilisés pour accéder aux comptes Yahoo!. Selon l’acte d’accusation, l’objectif de l’attaque n’était pas seulement la collecte de renseignements, mais aussi des gains financiers privés. En attendant, un million de mots de passe de comptes Yahoo! et Gmail sont en vente sur le dark web.

Neiman Marcus a accepté de payer 1,6 million de dollars pour régler une violation de données. En décembre 2013, le grand magasin de luxe américain Neiman Marcus a été attaqué, ce qui a entraîné l’exposition d’informations de cartes de crédit de 350 000 de ses clients. La société doit maintenant payer une fortune pour sa non-conformité avec la législation sur la cybersécurité.

L’ABTA, l’association professionnelle du voyage qui représente les agents de voyages et les voyagistes au Royaume-Uni, a alerté ses utilisateurs d’une violation de données. On pense que 43 000 de ses clients sont affectés. Les données volées incluent les adresses électroniques, les mots de passe cryptés des clients de l’ABTA, les coordonnées des clients des membres de l’ABTA qui ont utilisé le site web pour déposer une plainte. Selon l’ABTA, la majorité des mots de passe étaient cryptés et le risque de vol d’identité et de fraude en ligne est faible.

Sécurité des Bases de Données

La dernière semaine de mars, Percona a annoncé la sortie de Percona Server 5.7.17-12 basé sur MySQL 5.7.17.

La version contient des corrections de bugs et de plantages et il y a une nouvelle fonctionnalité mysqldump qui aide à sauvegarder les serveurs et recharger les fichiers de vidage. La fonctionnalité s’est également révélée contenir une vulnérabilité qui sera mentionnée plus loin.

CVE-2016-5483

Une vulnérabilité détectée dans l’utilitaire mysqldump de MySQL, qui est utilisé pour créer des sauvegardes logiques de bases de données. CVE-2016-5483 permet à un attaquant d’exécuter des requêtes SQL et des commandes shell arbitraires, lors de la restauration de la sauvegarde en utilisant l’utilitaire mysqldump . Pour exploiter la vulnérabilité, un attaquant doit acquérir des privilèges pour créer des tables.

MariaDB 10.1.22

En plus de corriger certains problèmes connus, la nouvelle version de MariaDB corrige deux vulnérabilités de sécurité :

CVE-2017-3313

Score de sévérité CVSS : 4.7

Vulnérabilité exploitable localement dans le serveur MySQL (sous-composant MyISAM). Une vulnérabilité difficile à exploiter qui permet à un attaquant ayant de faibles privilèges et une connexion à l’infrastructure où s’exécute le serveur MySQL de compromettre le serveur MySQL. Une attaque réussie peut entraîner un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles par le serveur MySQL.

CVE-2017-3302

Score de sévérité CVSS : 7.5

Une vulnérabilité exploitable à distance permettant de perturber le service en provoquant un crash dans libmysqlclient.so. Versions affectées : MariaDB jusqu’à 5.5.54 et 10.0.29, Oracle MySQL avant 5.6.21 et 5.7.5.

Nouvelles Failles de Sécurité

CVE-2016-6225

Score de sévérité CVSS : 5.9

Une autre vulnérabilité a été trouvée dans xbcrypt dans Percona XtraBackup avant 2.3.6 et 2.4.x avant 2.4.5. Elle existe en raison d’une correction incomplète pour CVE-2013-6394. L’outil xbcrypt supporte le chiffrement et le déchiffrement des sauvegardes. Il s’avère qu’il ne définit pas correctement le vecteur d’initialisation (IV) pour le chiffrement, permettant à des attaquants dépendants du contexte d’obtenir des données sensibles des fichiers de sauvegarde chiffrés via une attaque par texte en clair choisi. La vulnérabilité est exploitable à distance.

CVE-2017-1150

Score de sévérité CVSS : 3.1

Une nouvelle vulnérabilité trouvée dans IBM DB2 permet à un attaquant authentifié de visualiser des tables qu’il n’est pas autorisé à voir. La vulnérabilité est exploitable à distance et nécessite une authentification.

Correctif de Sécurité SAP HANA

SAP a corrigé une série de vulnérabilités critiques dans sa plateforme métier basée sur le cloud HANA. Si elles sont exploitées, elles pourraient mener à une compromission complète du système sans authentification. Un attaquant pourrait voler des données confidentielles dans la base de données, perturber les processus métier clés et modifier le code HTML des sites fonctionnant sur HANA XS, même sans nom d’utilisateur ni mot de passe légitime.

Ces vulnérabilités affectent le composant Self Service Utilisateur (USS) qui permet l’auto-enregistrement, le changement et la réinitialisation de mot de passe par l’utilisateur. Le service est désactivé par défaut, mais certains utilisateurs l’activent pour permettre aux utilisateurs externes d’accéder aux capacités internes.

La vulnérabilité dans l’USS est estimée à 9.8 par CVSS, ce qui permet à un attaquant à distance de prendre le contrôle total de SAP HANA sans nom d’utilisateur ni mot de passe. Il est fortement recommandé de désactiver le service ou d’appliquer le correctif.

Une autre vulnérabilité, la fixation de session (score CVSS 8.8) permet à un attaquant d’élever ses privilèges en se faisant passer pour un autre utilisateur du système.

Le correctif de sécurité de mars contient également des corrections pour des vulnérabilités de Déni de Service (DoS), d’exécution de code à distance, de XSS et d’injection SQL de certains composants. Les développeurs SAP recommandent de patcher les bases de données HANA dès que possible.

Digest de la Sécurité des Bases de Données – Février
Digest de la Sécurité des Bases de Données – Janvier
Digest de la Sécurité des Bases de Données – Décembre

Suivant

Digest de la Sécurité de Base de Données – Avril 2017

Digest de la Sécurité de Base de Données – Avril 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]