Предлагаем вашему вниманию подборку наиболее важных новостей о взломах и уязвимостях баз данных.

Взломаны более 28 тысяч баз данных на платформе MongoDB.  MongoDB – бесплатная NoSQL система управления БД. Атакующие используют несложные скрипты, эксплуатирующие не настроенную в должном порядке MongoDB. Программа-вымогатель форматирует всю БД и требует 150-500 долларов для ее возврата. Вредоносный скрипт работает только для тех БД, в которых нет пароля дла администратора или оставлен пароль по умолчанию. Также появились случаи атак по той же схеме на базы данных Hadoop и CouchDB. Главной проблемой являются не меры безопасности самих платформ, а пренебрежение пользователей самыми базовыми правилами безопасности. Многие компании, не резервировавшие БД, потеряли данные, так как злоумышленники не восстанавливают данные даже после получения платежа.

Взломаны ресурсы киберспортивного сообщества ESEA. Скомпрометированы более 1,5 млн аккаунтов, включая имена пользователей, email адреса, хешированные пароли, даты рождения, телефонные номера и сообщения пользователей. Компания не хранила платежную информацию, а пароли пользователей зашифрованы алгоритмом bcrypt.

Индийские банки столкнулись с проблемой в системе SWIFT, которая используется для безопасного проведения многомиллионных транзакций. Денежных потерь пока не обнаружено, однако, система могла быть использована для фальсификации финансовых документов. По делу проводится судебно-бухгалтерская экспертиза.

Безопасность БД

Oracle выпустил очередной Critical Patch Update, который закрывает 270 уязвимостей на различных платформах. Таблицу рисков можно посмотреть на официальном сайте.

MySQL

Critical Patch Update содержит фиксы для 27 уязвимостей безопасности для Oracle MySQL. Пять из них могут быть использованы удаленно без пользовательских прав.

CVEРейтинг CVSSКомпонентОписание
CVE-2015-75018.8

MySQL Enterprise Monitor: General

С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-06358.8MySQL Enterprise Monitor: GeneralС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-07148.8MySQL Enterprise Monitor: GeneralС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-55414.8MySQL Cluster: NDBAPIПозволяет скомпрометировать компонент MySQL Cluster пользователю с доступом в сеть через несколько протоколов. Успешная эксплуатация может стать результатом редактирования, добавления или удаления информации, к которой есть доступ MySQL Cluster, также неавторизованный пользователь может вызвать частичный отказ в обслуживании
CVE-2016-55907.2MySQL Enterprise Monitor: AgentС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-63047.5MySQL Enterprise Monitor: GeneralС помощью уязвимости не аутентифицированный пользователь с доступом к сети через протокол TLS может скомпрометировать компонент MySQL Enterprise Monitor. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Enterprise Monitor.
CVE-2016-83186.8MySQL Server: EncryptionС помощью уязвимости не аутентифицированный пользователь с доступом к сети через протокол TLS может скомпрометировать компонент MySQL Server. Атака может существенно повлиять на работу других компонентов. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2016-83274.4MySQL Server: ReplicationС помощью уязвимости пользователь с высокими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32386.5MySQL Server: OptimizerС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32434.4MySQL Server: CharsetsС помощью уязвимости пользователь с высокими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32446.5MySQL Server: DMLС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32514.9MySQL Server: OptimizerС помощью уязвимости пользователь с высокими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32566.5MySQL Server: ReplicationС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32576.5MySQL Server: InnoDBС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32586.5MySQL Server: DDLС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32655.6MySQL Server: PackagingУязвимость позволяет высокопривилегированному пользователю с доступом в инфраструктуру обработки запросов MySQL Server скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет получить доступ ко всей информации, к которой есть доступ компонента MySQL Server. Также позволяет без авторизации вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32736.5MySQL Server: DDLС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-32916.3MySQL Server: PackagingУязвимость позволяет высокопривилегированному пользователю с доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-33126.7MySQL Server: PackagingУязвимость позволяет высокопривилегированному пользователю с доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет захватить управление компонентом MySQL Server.
CVE-2017-33134.7MySQL Server: MyISAMУязвимость позволяет пользователю с низкими привилегиями и доступом в инфраструктуру обработки запросов MySQL Server скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет получить доступ ко всей информации, к которой есть доступ компонента MySQL Server.
CVE-2017-33174.0MySQL Server: LoggingУязвимость позволяет пользователю с низкими привилегиями и доступом в инфраструктуру обработки запросов MySQL Server скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-33184.0MySQL Server: Error HandlingУязвимость позволяет высокопривилегированному пользователю с доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет получить без авторизации доступ к критической информации или полный доступ к информации, к которой есть доступ компонента MySQL Server.
CVE-2017-33193.1MySQL Server: X PluginСложная для эксплуатации уязвимость позволяет пользователю с низкими привилегиями и доступом в сеть через несколько протоколов скомпрометировать компонент MySQL Server. Успешная эксплуатация дает права на чтение информации, доступной для компонента MySQL Server.
CVE-2017-33202.4MySQL Server: Encryptionуязвимость позволяет пользователю с высокими привилегиями и доступом в сеть через несколько протоколов скомпрометировать компонент MySQL Server. Успешная эксплуатация дает права на чтение информации, доступной для компонента MySQL Server.
CVE-2017-33213.7MySQL Cluster: GeneralС помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Cluster. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Cluster.
CVE-2017-33223.7MySQL Cluster: NDBAPIС помощью уязвимости не аутентифицированный пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Cluster. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Cluster.
CVE-2017-33233.7MySQL Cluster: GeneralС помощью уязвимости не аутентифицированный пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Cluster. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Cluster.

Oracle Database Server

Critical Patch Update содержит пять фиксов для уязвимостей безопасности Oracle Database Server, три из которых можно эксплуатировать удаленно.

CVEРейтинг CVSSКомпонентОписание
CVE-2017-32403.3RDBMS SecurityС помощью уязвимости пользователь с низкими привилегиям и локальным доступом к инфраструктуре компонента RDBMS Security получает возможность скомпрометировать данный компонент. Успешная эксплуатация позволяет получить доступ на чтение информации, доступной для компонента RDBMS Security.
CVE-2017-33109.0OJVMС помощью уязвимости пользователь с привилегиями для выполнения команд Create Session, Create Procedure и доступом к сети через несколько протоколов получает возможность скомпрометировать компонент OJVM. Эксплуатация требует более одного атакующего. Успешная эксплуатация позволяет получить контроль над OJVM.
CVE-2015-17915.6Oracle Secure Backup: OpenSSLС помощью уязвимости не аутентифицированный пользователь с доступом к сети через HTTPS получает возможность скомпрометировать данные криптографического пакета OpenSSL в Oracle Secure Backup. Успешная атака может привезти к удалению, добавлению, изменению данных доступных для  OpenSSL, также к частичному отказу в обслуживании OpenSSL.
CVE-2016-19039.1Oracle Secure Backup: PHPС помощью уязвимости не аутентифицированный пользователь с доступом к сети через HTTPS получает возможность скомпрометировать PHP в компоненте Oracle Secure Backup. Успешная эксплуатация позволяет получить доступ к конфиденциальным данным и всех данных, доступных для PHP, также позволяет вызвать полный отказ в обслуживании.
CVE-2015-32539.8Oracle Big Data Graph: SpatialС помощью уязвимости не аутентифицированный пользователь с доступом к сети через HTTPS получает возможность скомпрометировать компонент Spatial. Успешная эксплуатация позволяет захватить полный контроль над компонентом Spatial.

Pivotal Greenplum Database 4.3.11.3

Релиз новой Greenplum Database содержит следующие изменения:

  • Решена проблема, возникающая при копировании таблиц со множеством ключей распределения в утилите gptransfer.
  • Планировщик запросов мог сгенерировать план, который возвращал неверные результаты запроса. Проблема решена.
  • Устранены причины отказов утилит gpstart/gpstop после перезагрузки сервера.
  • Улучшения производительности компонентов Query Optimizer, Query Planner, Query Execution, Transaction Management,  S3 External Tables.
  • Другие улучшения и изменения скриптов analyzedb, Backup, Restore, recoverseg, gptransfer.
Безопасность баз данных | дайджест за декабрь 2016
Безопасность баз данных | дайджест за ноябрь 2016
Безопасность баз данных | дайджест за октябрь 2016
Комментарии