DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de la sécurité des bases de données – Décembre 2016

Par tradition, nous vous présentons les incidents les plus importants dans le domaine de la sécurité de l’information qui ont eu lieu en décembre.

Quelques nouvelles informations sont apparues au sujet du célèbre piratage du service Yahoo!Mail, lié au deuxième moteur de recherche le plus populaire au monde. Nous parlons maintenant de 1 milliard de comptes utilisateurs volés. Le pirate informatique (prétendument un opératif d’État lié à la violation de 2014) a eu accès au code propriétaire de Yahoo pour forger des cookies.

Le piratage d’une banque anonyme en Russie a été signalé. Il n’y a pas beaucoup d’informations publiques sur l’incident jusqu’à présent, nous savons seulement que les intrus ont volé environ 1,4 million de dollars en piratant le système bancaire principal.

Le site de partage de vidéos Dailymotion a subi une violation de données. 82,5 millions de comptes utilisateur sont compromis, y compris les identifiants des utilisateurs, les e-mails et les mots de passe hachés. Les mots de passe sont protégés par l’algorithme Bcrypt, que les attaquants déterminés peuvent contourner.

L’entreprise de fitness PayAsUGym a été piratée et des détails personnels de 300 000 clients ont été compromis. L’entreprise affirme que les mots de passe étaient cryptés, mais elle a utilisé l’algorithme MD5 discrédité avec des hachages non salés. Un autre exemple d’attitude irresponsable envers les questions de sécurité.

Le célèbre hacker/pentester Kaputskiy a violé le site de l’Assemblée Nationale de l’Équateur et a divulgué certaines des données. Plus tôt ce mois-ci, Kaputskiy et son ami Kasimierz L ont piraté le site officiel du ministère argentin de l’Industrie. Les deux attaques ont été réalisées en exploitant une vulnérabilité d’injection SQL.

Une attaque majeure a été menée contre le géant allemand de l’acier ThyssenKrupp, visant à voler son savoir-faire technologique et sa recherche. La détection précoce de l’attaque a permis de prévenir des conséquences plus graves. L’enquête est en cours.

Sécurité des bases de données

Ci-dessous, les vulnérabilités découvertes en décembre.

Oracle

CVE-2016-9013

Dans les versions de Django antérieures à 1.8.16, 1.9.11 et 1.10.3, un mot de passe codé en dur est utilisé pour un utilisateur temporaire de base de données créé lors de l’exécution de tests de base de données Oracle. L’exploitation facilite aux attaquants distants l’accès au serveur de base de données en spécifiant un mot de passe dans le dictionnaire de paramètres TEST de la base de données.

CVSS Sévérité : 9.8 Critique

MySQL

CVE-2016-6664

Elle a été mentionnée dans le digest d’octobre, et nous avons maintenant plus d’informations à ce sujet.

L’utilisation de la journalisation basée sur les fichiers permet aux utilisateurs locaux qui ont accès au compte mysql d’obtenir des privilèges root avec l’aide d’une attaque par lien symbolique sur les journaux d’erreurs.

CVSS Sévérité : 7.0 Élevée

CVE-2016-6663

Elle a également été mentionnée dans les digests précédents.

Elle permet aux utilisateurs locaux avec de faibles permissions d’obtenir des privilèges en utilisant la fonction my_copystat par la commande REPAIR TABLE ciblant une table MyISAM.

CVSS Sévérité : 7.0 Élevée

CVE-2016-9864

Elle donne l’opportunité à un attaquant avec un nom d’utilisateur ou de table fabriqué d’injecter des instructions SQL dans la fonctionnalité de suivi qui s’exécutera avec les privilèges de l’utilisateur de contrôle. L’exploitation donne un accès en lecture et en écriture aux tables de la base de données de stockage de configuration, si l’utilisateur de contrôle dispose des privilèges requis, un attaquant peut lire certaines tables de la base de données MySQL.

CVSS Sévérité : 7.5 Élevée

CVE-2016-6607

Problème XSS dans phpMyAdmin. Le contenu des colonnes modifié de Zoom search peut être utilisé pour déclencher une attaque XSS. Certains champs dans l’éditeur GIS ne sont pas correctement échappés, de sorte qu’ils peuvent également être utilisés pour une attaque XSS.

CVSS Sévérité : 6.1 Moyenne

MariaDB

CVE-2016-7740

Elle facilite la découverte des clés AES par les utilisateurs locaux en exploitant les différences de synchronisation du cache-banque.

CVSS Sévérité : 5.5 Moyenne

Base de données Greenplum

CVE-2016-6656

Versions concernées : Pivotal Greenplum avant 4.3.10.0

Des commandes arbitraires peuvent être injectées dans le système en exploitant la vulnérabilité dans le processus de création de tables externes utilisant GPHDFS. L’exploitation nécessite un accès superutilisateur ‘gpadmin’ au système ou des permissions de protocole GPHDFS.

CVSS Sévérité : 7.2 Élevée

MySQL 5.6.35

La nouvelle version contient des correctifs pour des bogues connus, des améliorations de performance et de sécurité.

Les changements de sécurité incluent :

  • La commande chown ne peut désormais être utilisée que lorsque le répertoire cible est /var/log. Si le répertoire pour le socket Unix est manquant, une erreur se produit. L’utilisation non sécurisée des commandes rm ou chown dans la section mysql_safe d’un fichier d’options cng pourrait mener à une élévation de privilèges.
  • Maintenant, l’option –ledir n’est pas acceptée dans les fichiers d’options, uniquement en ligne de commande.
  • Les scripts d’initialisation de la nouvelle version créent le fichier journal d’erreurs à condition que le répertoire de base soit /var/lib ou /var/log.
  • Les fichiers systèmes inutilisés pour SLES sont supprimés.
  • L’Enterprise Encryption pour MySQL Enterprise Edition permet désormais aux administrateurs de serveur d’imposer des limites sur la longueur maximale des clés en définissant des variables d’environnement. Celles-ci peuvent être utilisées pour empêcher les clients d’utiliser des ressources CPU excessives en passant des longueurs de clés très longues aux opérations de génération de clés.
  • Le Plugin de contrôle des connexions. Après un certain nombre de tentatives consécutives échouées d’accès aux comptes utilisateur MySQL, le délai de réponse du serveur est augmenté. Le nouveau plugin est conçu pour ralentir les attaques par force brute.

Greenplum Database 4.3.11.0

Greenplum Database 4.3.11.0 inclut les améliorations suivantes :

  • Amélioration de l’exécution des requêtes PQO
  • Amélioration de l’annulation des requêtes
  • Amélioration de l’exécution des requêtes des agrégats de hachage
  • Amélioration de la gestion de la mémoire de la base de données Greenplum
  • Amélioration de la gestion des lignes supprimées dans les tables persistantes
  • Amélioration de l’environnement PL/Java pour le développement
  • gptransfer transfère des données de tables partitionnées à des tables non partitionnées

Teradata Database 16.00

La base de données Teradata 16.00 propose de nombreuses nouvelles fonctionnalités et améliorations dans les catégories stratégiques suivantes : Exécution Adaptative, Big Data & UDA Enabling, Performance Extrême, Haute Disponibilité, Compatibilité Industrie, Qualité et Supportabilité, Simplicité et Facilité d’Utilisation. Vous pouvez trouver des notes de version détaillées ici.

En ce qui concerne les questions de sécurité, la nouvelle version contient les améliorations suivantes :

Autorisation LDAP Légère. Elle permet aux utilisateurs d’utiliser le service d’annuaire existant pour autoriser les utilisateurs de la base de données Teradata, il n’est pas nécessaire de modifier leur annuaire pour inclure le schéma spécifique Teradata, les structures et les entrées. Elle fonctionne avec les serveurs d’annuaire compatibles LDAPv3 (LDAP et KRB5). Elle a amélioré la performance de connexion par rapport aux mécanismes d’autorisation traditionnels.

L’outil tdgssauth est utilisé pour tester les configurations de mécanismes de sécurité TDGSS sur les nœuds de la base de données Teradata et les serveurs de l’unité de direction. Elle teste les défaillances de politique hors ligne, ainsi que l’authentification et l’autorisation correctes. Bien que tdgssauth ne puisse pas tester les mécanismes de proxy, c’est un outil robuste pour imposer les politiques de sécurité permettant le débogage en direct sans entraîner l’arrêt de l’exécution de la base de données.

Répertoire d’Installation Sélectionnable par l’Utilisateur (USD). Il est utilisé pour établir des connexions sécurisées entre un client et un serveur avec l’aide de l’interface Teradata Generic Security Service (GSS). Maintenant, le dossier ou le lecteur racine pour l’installation peut être spécifié par l’utilisateur.

Digest de la sécurité des bases de données – Novembre
Digest de la sécurité des bases de données – Octobre
Digest de la sécurité des bases de données – Septembre

Suivant

Revue de Sécurité de Bases de Données – Janvier 2017

Revue de Sécurité de Bases de Données – Janvier 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]