DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de la Sécurité des Bases de Données – Février 2017

Le moment est venu de vous présenter les dernières nouvelles dans le domaine de la sécurité des bases de données.

Les attaques de rançongiciels se sont tournées vers MySQL

Les attaques de rançongiciels sur MongoDB et CouchDB mal configurés ont continué. Les maîtres-chanteurs ont également commencé à cibler les bases de données MySQL. Le schéma d’attaque reste assez simple : détecter une base de données avec les paramètres par défaut, effectuer une attaque par force brute sur le mot de passe ‘root’, supprimer le contenu de la base de données et demander un soutien financier pour restaurer les données.

Ce type d’attaque peut être facilement évité si vous appliquez les mesures de sécurité de base :

  • Installer la dernière version de votre SGBDR.
  • Ne laissez pas le mot de passe par défaut pour les utilisateurs root. Attribuez une combinaison forte pour les mots de passe, utilisez des générateurs de mots de passe aléatoires.
  • Minimisez les services exposés à Internet.
  • Mettez en œuvre des outils de surveillance des activités pour être conscient de la situation actuelle de vos serveurs accessibles sur Internet.

Vulnérabilité d’injection SQL dans WordPress

Une vulnérabilité grave exploitable à distance a été trouvée dans le plugin NextGEN Gallery de WordPress. Elle permet à un utilisateur non authentifié d’injecter du code SQL et de récupérer des données sensibles de la base de données du site web de la victime, incluant des hachages de mots de passe des utilisateurs de WordPress. Les sites web affectés sont ceux qui utilisent NextGEN Basic TagCloud Gallery ou s’il est permis aux utilisateurs de soumettre des publications.

L’injection SQL est rendue possible en raison d’une validation incorrecte des paramètres de requête. En conséquence, les informations tapées par un utilisateur seront ajoutées à la requête SQL sans la bonne filtration. La vulnérabilité a été corrigée dans NextGEN Gallery 2.1.79.

Fuite de Cloudflare

Cloudflare fournit des services de sécurité et de performance Internet à des millions de sites web. Il s’est avéré que le service CloudFlare avait un énorme bug et qu’il fuyait des données sensibles de septembre 2016 à février 2017.

Selon les rapports de Cloudflare, le problème s’est produit dans le parseur HTML présent dans les trois fonctionnalités suivantes : Réécritures HTTP automatiques, Obfuscation des courriels, Exclusions côté serveur. Le bug a causé un débordement de buffer sur les serveurs Edge, ce qui a permis de retourner de la mémoire contenant des informations privées telles que des jetons d’authentification, des cookies HTTP, des corps de requêtes POST HTTP et d’autres données critiques. Les trois fonctionnalités causant des fuites de mémoire ont été immédiatement désactivées dès que la société a remarqué le problème.

Parmi les victimes figurent Uber, Fitbit, OK Cupid et d’autres services basés sur le web. L’impact de la fuite est considéré comme minimal. Cloudflare, en collaboration avec les fournisseurs de moteurs de recherche, a supprimé la mémoire mise en cache contenant les données fuitées des moteurs de recherche avant d’annoncer le bug. L’entreprise a également déclaré qu’aucune clé SSL client n’a été divulguée car une instance NGINX isolée est utilisée pour terminer les connexions SSL.

Fin de SHA-1

Des chercheurs de Google ont réalisé la première attaque pratique par collision pour la fonction de hachage cryptographique SHA-1. L’attaque est basée sur la collision de deux fichiers PDF. Ils ont réussi à obtenir la signature numérique SHA-1 sur le premier fichier PDF et l’ont utilisée pour extraire le deuxième fichier PDF en imitant la signature.

Les calculs prennent des années et le coût de l’attaque est estimé jusqu’à 120 000 $, mais il est prévu de réduire ce coût à l’avenir. Les chercheurs affirment que leur méthode est 100 000 fois plus rapide qu’une attaque par force brute.

De nombreuses organisations ont déjà remplacé SHA-1 par SHA-2 et SHA-3 car l’algorithme n’est plus considéré comme sûr face à des adversaires bien financés. Google, Microsoft, Apple, Mozilla ont annoncé qu’à partir de 2017, leurs navigateurs cesseront d’accepter les certificats SSL SHA-1.

Vulnérabilités des bases de données et sorties de SGBDR

CVE-2017-3302

Versions affectées : Oracle MySQL avant 5.6.21 et 5.7.x avant 5.7.5 et MariaDB jusqu’à 5.5.54, 10.0.x jusqu’à 10.0.29, 10.1.x jusqu’à 10.1.21, et 10.2.x jusqu’à 10.2.3
CVSS Gravité : 7.5
Permet à un attaquant non authentifié sans privilèges de provoquer un crash dans libmysqlclient.so

La sortie de Percona Server 5.7.17-11 ajoute deux nouvelles fonctionnalités et corrige des bugs connus. La liste des changements importants est présentée ci-dessous :

  • Prise en charge de la compression VARCHAR/BLOB par colonne pour le moteur de stockage XtraDB. Pour améliorer le taux de compression des lignes courtes individuelles comme les données JSON, une prise en charge des dictionnaires de compression a été ajoutée.
  • La ré-implémentation de la fonction Kill Idle Transactions résout les crashs du serveur et peut maintenant être utilisée dans n’importe quel moteur de stockage transactionnel (TokuDB, MyRocks). Le délai de lecture du socket de connexion est défini au lieu de l’analyse périodique des transactions internes d’InnoDB.
  • Pour éviter l’élévation des privilèges, mysq_safe limite l’utilisation de rm et chown. La commande chown peut désormais être utilisée uniquement pour le répertoire /var/log.

Il y a également eu une sortie de la version Percona Server for MongoDB 3.4.

La première candidate à la sortie (RC) a été publiée dans la série MariaDB 10.2. Pour voir les nouveautés, reportez-vous aux notes de version.

PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 et 9.2.20 ont été publiés. Ils corrigent plus de 75 bugs et résolvent certains problèmes connus. Ci-dessous, les plus notables :

  • Une condition de concurrence s’est produite lors de l’appel de la commande CREATE INDEX CONCURRENTLY sur une colonne qui n’avait pas été indexée auparavant, ce qui pouvait entraîner une corruption des données. Le problème a été résolu.
  • Améliorations de la stabilité des données visibles et du journal d’écriture anticipée.

Digest de la Sécurité des Bases de Données – Janvier
Digest de la Sécurité des Bases de Données – Décembre
Digest de la Sécurité des Bases de Données – Novembre

Suivant

Digest de Sécurité des Bases de Données pour Mars 2017

Digest de Sécurité des Bases de Données pour Mars 2017

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Informations générales
Ventes
Service clientèle et support technique
Demandes de partenariat et d'alliance
Informations générales :
info@datasunrise.com
Ventes :
sales@datasunrise.com
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
partner@datasunrise.com