Digest de Sécurité de Base de Données – Octobre 2016
Le mois dernier a été relativement calme étant donné la série de grandes violations de données des mois précédents.
Un hacker nommé Guccifer 2.0, déjà connu pour avoir divulgué des documents légitimes d’organisations politiques, a exposé les fichiers de la Fondation Clinton. Il a écrit que c’était juste une question de temps, car le personnel de la Fondation Clinton ne se souciait pas de la sécurité de l’information.
Modern Business Systems a subi une violation de 58 comptes utilisateurs, impliquant des noms de clients, des adresses postales, des courriels et des adresses IP, des numéros de téléphone. La société de développement de jeux Evony Gaming a compromis 33 millions de comptes avec des noms d’utilisateur, des mots de passe et des adresses e-mail.
Nouvelles failles MySQL
Deux graves vulnérabilités d’escalade de privilèges ont été trouvées dans MySQL et ses dérivés MariaDB, PerconaDB. Les développeurs ont déjà publié des mises à jour corrigeant ces failles. CVE-2016-6663 et CVE-2016-6664 (suivis par Oracle comme CVE-2016-5616 et CVE-2016-5617 en conséquence).
CVE-2016-6663 facilite l’exploitation de CVE-2016-6662. Il s’agit d’une condition de course qui permet aux utilisateurs à faible privilège d’escalader leurs privilèges et d’exécuter du code arbitraire en tant qu’utilisateur du système de base de données. Il peut être exploité par des attaquants qui parviennent à trouver une vulnérabilité sur un site web et à accéder au système cible en tant qu’utilisateur à faible privilège. Il peut également être utilisé dans un environnement d’hébergement partagé où chaque utilisateur ne peut accéder qu’à une seule base de données spécifique.
Selon l’expert qui a détecté la faille, CVE-2016-6663 peut être utilisé conjointement avec CVE-2016-6662 ou CVE-2016-6664 afin d’obtenir des privilèges root et de compromettre l’ensemble du système ciblé. L’exploit est librement disponible dans le domaine public, il existe même une vidéo montrant comment il doit être effectué. Avec cela à l’esprit, les utilisateurs des plateformes affectées devraient appliquer le correctif dès que possible.
Les vulnérabilités affectent les versions Oracle MySQL 5.5.51, 5.6.32, 5.7.14 et antérieures. La mise à jour critique d’octobre corrige les deux problèmes. Percona a annoncé qu’il avait mis à jour Percona Server pour corriger les vulnérabilités ci-dessus. MariaDB a corrigé CVE-2016-6663 et laissé CVE-2016-6664 jusqu’à la prochaine version de maintenance, arguant qu’elle n’est pas exploitable par elle-même.
Correctifs Oracle
Oracle a annoncé la sortie de Critical Patch Update le 18 octobre, éliminant 253 vulnérabilités sur différentes plateformes. En ce qui concerne le serveur de base de données Oracle, il dispose de 12 correctifs de sécurité. L’une des vulnérabilités peut être exploitée à distance sans nécessiter les informations d’identification de l’utilisateur.
| CVE# | Composant | Package et/ou Privilège Requis | Protocole | Exploit à Distance sans Auth.? | Score de Base | Vecteur d’Attaque | Privilèges requis |
| CVE-2016-5555 | OJVM | Créer une session, Créer une procédure | Multiple | Non | 9.1 | Réseau | Élevé |
| CVE-2016-5572 | Kernel PDB | Créer une session | Oracle Net | Non | 6.4 | Local | Élevé |
| CVE-2016-5497 | RDBMS Security | Créer une session | Oracle Net | Non | 6.4 | Local | Élevé |
| CVE-2010-5312 | Application Express | Aucune | HTTP | Oui | 6.1 | Réseau | Aucun |
| CVE-2016-5516 | Kernel PDB | Exécutez sur DBMS_PDB_EXEC_SQL | Oracle Net | Non | 6.0 | Local | Élevé |
| CVE-2016-5505 | Interface programmable RDBMS | Créer une session | Oracle Net | Non | 5.5 | Local | Faible |
| CVE-2016-5498 | RDBMS Security | Créer une session | Oracle Net | Non | 3.3 | Local | Faible |
| CVE-2016-5499 | RDBMS Security | Créer une session | Oracle Net | Non | 3.3 | Local | Faible |
| CVE-2016-3562 | Sécurité RDBMS et SQL*Plus | Compte privilégié de niveau DBA | Oracle Net | Non | 2.4 | Réseau | Élevé |
Oracle MySQL
31 correctifs de sécurité pour Oracle MySQL dans cette mise à jour. 2 d’entre eux peuvent être exploitables à distance sans authentification.
| CVE# | Composant | Sous- composant | Protocole | Exploit à Distance sans Auth.? | Score de Base | Vecteur d’Attaque | Privilèges requis |
| CVE-2016-6304 | Serveur MySQL | Serveur: Sécurité: Cryptage | Protocole MySQL | Oui | 7.5 | Réseau | Aucun |
| CVE-2016-6662 | Serveur MySQL | Serveur: Journalisation | Aucun | Non | 7.2 | Local | Élevé |
| CVE-2016-5617 | Serveur MySQL | Serveur: Gestion des erreurs | Aucun | Non | 7.0 | Local | Faible |
| CVE-2016-5616 | Serveur MySQL | Serveur: MyISAM | Aucun | Non | 7.0 | Local | Faible |
| CVE-2016-5625 | Serveur MySQL | Serveur: Emballage | Aucun | Non | 7.0 | Local | Faible |
| CVE-2016-5609 | Serveur MySQL | Serveur: DML | Protocole MySQL | Non | 6.5 | Réseau | Faible |
| CVE-2016-5612 | Serveur MySQL | Serveur: DML | Protocole MySQL | Non | 6.5 | Réseau | Faible |
| CVE-2016-5624 | Serveur MySQL | Serveur: DML | Protocole MySQL | Non | 6.5 | Réseau | Faible |
| CVE-2016-5626 | Serveur MySQL | Serveur: GIS | Protocole MySQL | Non | 6.5 | Réseau | Faible |
| CVE-2016-3492 | Serveur MySQL | Serveur: Optimiseur | Protocole MySQL | Non | 6.5 | Réseau | Faible |
| CVE-2016-5598 | Connecteur MySQL | Connecteur/Python | Protocole MySQL | Oui | 5.6 | Réseau | Aucun |
| CVE-2016-7440 | Serveur MySQL | Serveur: Sécurité: Cryptage | Aucun | Non | 5.1 | Local | Aucun |
| CVE-2016-5628 | Serveur MySQL | Serveur: DML | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5629 | Serveur MySQL | Serveur: Fédéré | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-3495 | Serveur MySQL | Serveur: InnoDB | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5630 | Serveur MySQL | Serveur: InnoDB | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5507 | Serveur MySQL | Serveur: InnoDB | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5631 | Serveur MySQL | Serveur: Memcached | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5632 | Serveur MySQL | Serveur: Optimiseur | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5633 | Serveur MySQL | Serveur: Performance Schema | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5634 | Serveur MySQL | Serveur: RBR | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-5635 | Serveur MySQL | Serveur: Sécurité: Audit | Protocole MySQL | Non | 4.9 | Réseau | Élevé |
| CVE-2016-8289 | Serveur MySQL | Serveur: InnoDB | Aucun | Non | 4.7 | Local | Élevé |
| CVE-2016-8287 | Serveur MySQL | Serveur: Réplication | Protocole MySQL | Non | 4.5 | Réseau | Élevé |
| CVE-2016-8290 | Serveur MySQL | Serveur: Performance Schema | Protocole MySQL | Non | 4.4 | Réseau | Élevé |
| CVE-2016-5584 | Serveur MySQL | Serveur: Sécurité: Cryptage | Protocole MySQL | Non | 4.4 | Réseau | Élevé |
| CVE-2016-8283 | Serveur MySQL | Serveur: Types | Protocole MySQL | Non | 4.3 | Réseau | Faible |
| CVE-2016-8288 | Serveur MySQL | Serveur: Plugin InnoDB | Protocole MySQL | Non | 3.1 | Réseau | Faible |
| CVE-2016-8286 | Serveur MySQL | Serveur: Sécurité: Privilèges | Protocole MySQL | Non | 3.1 | Réseau | Faible |
| CVE-2016-8284 | Serveur MySQL | Serveur: Réplication | Aucun | Non | 1.8 | Local | Élevé |
Greenplum Database 4.3.10.0
La mise à jour introduit des tables inscriptibles S3, résout des problèmes connus, et comprend certaines améliorations et modifications.
Spécifier une table externe avec le protocole gphdfs contenant des symboles \, ‘, <,> était une vulnérabilité de sécurité potentielle. Le problème a été résolu.
MariaDB 10.0.28
La nouvelle version inclut des mises à jour pour XtraDB, TokuDB, Innodb, Performance Schema et corrige un certain nombre de vulnérabilités de sécurité :
CVE-2016-5616 (CVE-2016-6663 par Oracle) Permet à des utilisateurs locaux d’affecter la confidentialité, l’intégrité et la disponibilité via des vecteurs liés au Serveur: MyISAM. Score CVSS : 7.0
CVE-2016-5624 Permet à des utilisateurs authentifiés à distance d’affecter la disponibilité via des vecteurs liés à DML. Score CVSS : 6.5
CVE-2016-5626 Permet à des utilisateurs authentifiés à distance d’affecter la disponibilité via des vecteurs liés à GIS.
Score CVSS : 6.5CVE-2016-3492 Permet à des utilisateurs authentifiés à distance d’affecter la disponibilité via des vecteurs liés au Serveur: Optimiseur. Score CVSS : 6.5
CVE-2016-5629 Permet aux administrateurs à distance d’affecter la disponibilité via des vecteurs liés au Serveur: Fédéré. Score CVSS : 4.9
CVE-2016-7440 – vulnérabilité non spécifiée.
CVE-2016-5584 Permet aux administrateurs à distance d’affecter la confidentialité via des vecteurs liés au Serveur: Sécurité: Cryptage. Score CVSS : 4.4
MySQL 5.6.34
La nouvelle version contient des améliorations de sécurité concernant la variable du système secure_file_priv, qui est utilisée pour limiter l’effet des opérations d’importation et d’exportation de données. Elle peut maintenant être réglée sur NULL pour désactiver toutes les opérations d’importation/exportation. Le serveur vérifie maintenant la valeur de secure_file_priv au démarrage et enregistre un avertissement dans le journal des erreurs si la valeur est non sécurisée. Auparavant, la variable du système secure_file_priv était vide par défaut. Maintenant, la valeur par défaut est définie en fonction de la valeur de l’option CMake INSTALL_LAYOUT. Vous pouvez trouver des informations plus détaillées dans les notes de version.
Percona Server 5.7.15-9
Basé sur MySQL 5.7.15, y compris toutes les corrections de bugs, le Percona Server 5.7.14-8 est la version GA (General Availability) actuelle de la série Percona Server 5.7. La mise à jour contient un certain nombre de corrections de bugs, y compris la correction des fuites de threads esclaves qui se produisaient en cas d’échec de la création de threads. De plus, des fuites de mémoire dans le plugin Audit Log sont également éliminées.
Digest de Sécurité de Base de Données – Septembre Digest de Sécurité de Base de Données – Août Digest de Sécurité de Base de Données – Juin-Juillet