DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de la Sécurité des Bases de Données – Février 2017

Le moment est venu de vous présenter les dernières nouvelles dans le domaine de la sécurité des bases de données.

Les attaques de rançongiciels se sont tournées vers MySQL

Les attaques de rançongiciels sur MongoDB et CouchDB mal configurés ont continué. Les maîtres-chanteurs ont également commencé à cibler les bases de données MySQL. Le schéma d’attaque reste assez simple : détecter une base de données avec les paramètres par défaut, effectuer une attaque par force brute sur le mot de passe ‘root’, supprimer le contenu de la base de données et demander un soutien financier pour restaurer les données.

Ce type d’attaque peut être facilement évité si vous appliquez les mesures de sécurité de base :

  • Installer la dernière version de votre SGBDR.
  • Ne laissez pas le mot de passe par défaut pour les utilisateurs root. Attribuez une combinaison forte pour les mots de passe, utilisez des générateurs de mots de passe aléatoires.
  • Minimisez les services exposés à Internet.
  • Mettez en œuvre des outils de surveillance des activités pour être conscient de la situation actuelle de vos serveurs accessibles sur Internet.

Vulnérabilité d’injection SQL dans WordPress

Une vulnérabilité grave exploitable à distance a été trouvée dans le plugin NextGEN Gallery de WordPress. Elle permet à un utilisateur non authentifié d’injecter du code SQL et de récupérer des données sensibles de la base de données du site web de la victime, incluant des hachages de mots de passe des utilisateurs de WordPress. Les sites web affectés sont ceux qui utilisent NextGEN Basic TagCloud Gallery ou s’il est permis aux utilisateurs de soumettre des publications.

L’injection SQL est rendue possible en raison d’une validation incorrecte des paramètres de requête. En conséquence, les informations tapées par un utilisateur seront ajoutées à la requête SQL sans la bonne filtration. La vulnérabilité a été corrigée dans NextGEN Gallery 2.1.79.

Fuite de Cloudflare

Cloudflare fournit des services de sécurité et de performance Internet à des millions de sites web. Il s’est avéré que le service CloudFlare avait un énorme bug et qu’il fuyait des données sensibles de septembre 2016 à février 2017.

Selon les rapports de Cloudflare, le problème s’est produit dans le parseur HTML présent dans les trois fonctionnalités suivantes : Réécritures HTTP automatiques, Obfuscation des courriels, Exclusions côté serveur. Le bug a causé un débordement de buffer sur les serveurs Edge, ce qui a permis de retourner de la mémoire contenant des informations privées telles que des jetons d’authentification, des cookies HTTP, des corps de requêtes POST HTTP et d’autres données critiques. Les trois fonctionnalités causant des fuites de mémoire ont été immédiatement désactivées dès que la société a remarqué le problème.

Parmi les victimes figurent Uber, Fitbit, OK Cupid et d’autres services basés sur le web. L’impact de la fuite est considéré comme minimal. Cloudflare, en collaboration avec les fournisseurs de moteurs de recherche, a supprimé la mémoire mise en cache contenant les données fuitées des moteurs de recherche avant d’annoncer le bug. L’entreprise a également déclaré qu’aucune clé SSL client n’a été divulguée car une instance NGINX isolée est utilisée pour terminer les connexions SSL.

Fin de SHA-1

Des chercheurs de Google ont réalisé la première attaque pratique par collision pour la fonction de hachage cryptographique SHA-1. L’attaque est basée sur la collision de deux fichiers PDF. Ils ont réussi à obtenir la signature numérique SHA-1 sur le premier fichier PDF et l’ont utilisée pour extraire le deuxième fichier PDF en imitant la signature.

Les calculs prennent des années et le coût de l’attaque est estimé jusqu’à 120 000 $, mais il est prévu de réduire ce coût à l’avenir. Les chercheurs affirment que leur méthode est 100 000 fois plus rapide qu’une attaque par force brute.

De nombreuses organisations ont déjà remplacé SHA-1 par SHA-2 et SHA-3 car l’algorithme n’est plus considéré comme sûr face à des adversaires bien financés. Google, Microsoft, Apple, Mozilla ont annoncé qu’à partir de 2017, leurs navigateurs cesseront d’accepter les certificats SSL SHA-1.

Vulnérabilités des bases de données et sorties de SGBDR

CVE-2017-3302

Versions affectées : Oracle MySQL avant 5.6.21 et 5.7.x avant 5.7.5 et MariaDB jusqu’à 5.5.54, 10.0.x jusqu’à 10.0.29, 10.1.x jusqu’à 10.1.21, et 10.2.x jusqu’à 10.2.3
CVSS Gravité : 7.5
Permet à un attaquant non authentifié sans privilèges de provoquer un crash dans libmysqlclient.so

La sortie de Percona Server 5.7.17-11 ajoute deux nouvelles fonctionnalités et corrige des bugs connus. La liste des changements importants est présentée ci-dessous :

  • Prise en charge de la compression VARCHAR/BLOB par colonne pour le moteur de stockage XtraDB. Pour améliorer le taux de compression des lignes courtes individuelles comme les données JSON, une prise en charge des dictionnaires de compression a été ajoutée.
  • La ré-implémentation de la fonction Kill Idle Transactions résout les crashs du serveur et peut maintenant être utilisée dans n’importe quel moteur de stockage transactionnel (TokuDB, MyRocks). Le délai de lecture du socket de connexion est défini au lieu de l’analyse périodique des transactions internes d’InnoDB.
  • Pour éviter l’élévation des privilèges, mysq_safe limite l’utilisation de rm et chown. La commande chown peut désormais être utilisée uniquement pour le répertoire /var/log.

Il y a également eu une sortie de la version Percona Server for MongoDB 3.4.

La première candidate à la sortie (RC) a été publiée dans la série MariaDB 10.2. Pour voir les nouveautés, reportez-vous aux notes de version.

PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 et 9.2.20 ont été publiés. Ils corrigent plus de 75 bugs et résolvent certains problèmes connus. Ci-dessous, les plus notables :

  • Une condition de concurrence s’est produite lors de l’appel de la commande CREATE INDEX CONCURRENTLY sur une colonne qui n’avait pas été indexée auparavant, ce qui pouvait entraîner une corruption des données. Le problème a été résolu.
  • Améliorations de la stabilité des données visibles et du journal d’écriture anticipée.

Digest de la Sécurité des Bases de Données – Janvier
Digest de la Sécurité des Bases de Données – Décembre
Digest de la Sécurité des Bases de Données – Novembre

Suivant

Digest de la Sécurité des Bases de Données – Mars 2017

Digest de la Sécurité des Bases de Données – Mars 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]