Digest de la Sécurité des Bases de Données – Septembre 2017
Nous vous présentons un résumé des derniers incidents et mises à jour concernant la sécurité des bases de données.
Fuite de données chez Equifax
Une partie inconnue a piraté Equifax, une grande agence de renseignement de crédit aux consommateurs qui gère des informations extrêmement sensibles. Les données personnelles de 143 millions de consommateurs américains ont été compromises, incluant noms, numéros de sécurité sociale, dates de naissance, adresses et, dans certains cas, numéros de permis de conduire, au moins 209 000 informations de carte de crédit et des informations PII supplémentaires de 182 000 personnes. Certaines données des clients au Royaume-Uni et au Canada sont également affectées.
Equifax a rapporté que l’attaque avait été réalisée via l’exploitation d’une vulnérabilité de l’exécution de code à distance dans le logiciel serveur open-source Apache Struts (CVE-2017-5638). Un attaquant envoie une requête HTTP contenant un objet sérialisé ou une expression OGNL, permettant ainsi d’exécuter un code arbitraire. La vulnérabilité a été divulguée en mars. Il s’agit d’une vulnérabilité critique et Equifax aurait dû la corriger.
En plus d’avoir laissé se produire une attaque massive, Equifax a omis de déclarer la brèche dans les 72 heures, comme l’exige le Règlement Général sur la Protection des Données de l’Europe, et ce sans raison apparente. La société n’a fait rapport que 40 jours après avoir découvert l’incident.
Les bases de données AWS mal configurées fuient toujours
Un fournisseur de services de communication mondial, BroadSoft a laissé 600 Go de données exposées sur deux dépôts cloud sans accès sécurisé. Les fichiers incluaient des vidages de bases de données SQL, des journaux d’accès et des adresses de facturation des clients.
TigerSwan, un entrepreneur militaire privé américain, a compromis des milliers de curriculum vitae contenant des informations personnelles d’anciens combattants américains.
La société américaine de télécommunications Verizon a divulgué des fichiers d’entreprise confidentiels incluant des clés de déchiffrement, des noms d’utilisateur et des mots de passe permettant d’accéder au réseau interne de Verizon.
Dans tous les cas, les données étaient stockées sur des compartiments AWS Simple Storage Service (S3). La fuite s’est produite en raison de l’activation de l’accès public aux bases de données. Cette tendance se poursuit. Si vous avez des données sur des compartiments Amazon, vous feriez mieux de vérifier deux fois.
Publication de MS SQL Server 2017
Une nouvelle version de SQL Server contient des corrections de bogues et, à partir de maintenant, est compatible avec Linux et macOS (via Docker). Certaines fonctionnalités (réplication, services de rapport, services d’analyse, services d’apprentissage automatique) ne sont pas encore prises en charge pour Linux. Parmi les autres changements, on trouve :
- Améliorations des seuils de mise à jour des statistiques incrémentielles.
- Prise en charge des requêtes graphiques
- Traitement adaptatif des requêtes et optimisation automatique pour une meilleure optimisation des requêtes.
- Prise en charge de Python dans les services d’apprentissage automatique
Pour la liste complète des modifications, consultez les notes de version.
CVE-2017-1520
Score de sévérité CVSS : 3.7
Description : Une vulnérabilité dans IBM DB2 9.7, 10.1, 10.5 et 11.1 qui permet d’exécuter une commande non autorisée activant la base de données lorsque le type d’authentification est CLIENT. Exploitable à distance sans authentification.
CVE-2017-1519
Score de sévérité CVSS : 5.9
Description : Vulnérabilité de déni de service dans IBM DB2 10.5 et 11.1. Un utilisateur distant sans authentification peut perturber le service pour la configuration du serveur DB2 Connect.
CVE-2017-1452
Score de sévérité CVSS : 7.8
Description : Une vulnérabilité dans IBM DB2 9.7, 10.1, 10.5, 11.1 qui permet à un utilisateur local d’élever ses privilèges et de remplacer les fichiers DB2. Exploitable localement sans authentification.
CVE-2017-1451
Score de sévérité CVSS : 7.8
Description : Une vulnérabilité dans IBM DB2 9.7, 10.1, 10.5, 11.1 qui permet à un utilisateur local avec des privilèges de propriétaire d’instance DB2 d’obtenir des privilèges root.
CVE-2017-1439
Score de sévérité CVSS : 6.7
Description : Une vulnérabilité dans IBM DB2 9.7, 10.1, 10.5, 11.1 qui permet à un utilisateur local avec des privilèges de propriétaire d’instance DB2 d’obtenir des privilèges root. Exploitable localement sans authentification.
CVE-2017-1438
Score de sévérité CVSS : 6.7
Description : Une vulnérabilité dans IBM DB2 9.7, 10.1, 10.5, 11.1 qui permet à un utilisateur local avec des privilèges de propriétaire d’instance DB2 d’obtenir des privilèges root.
CVE-2017-1434
Score de sévérité CVSS : 4.7
Description : Une vulnérabilité dans IBM DB2 9.7, 10.1, 10.5, 11.1 avec certains paramètres qui permet à un utilisateur local non autorisé d’exposer des informations sensibles dans le journal des erreurs.
Digest de la Sécurité des Bases de Données – Juillet
Digest de la Sécurité des Bases de Données – Juin
