Предлагаем вашему вниманию подборку наиболее важных новостей о взломах и уязвимостях баз данных.

Взломаны более 28 тысяч баз данных на платформе MongoDB.  MongoDB – бесплатная NoSQL система управления БД. Атакующие используют несложные скрипты, эксплуатирующие не настроенную в должном порядке MongoDB. Программа-вымогатель форматирует всю БД и требует 150-500 долларов для ее возврата. Вредоносный скрипт работает только для тех БД, в которых нет пароля дла администратора или оставлен пароль по умолчанию. Также появились случаи атак по той же схеме на базы данных Hadoop и CouchDB. Главной проблемой являются не меры безопасности самих платформ, а пренебрежение пользователей самыми базовыми правилами безопасности. Многие компании, не резервировавшие БД, потеряли данные, так как злоумышленники не восстанавливают данные даже после получения платежа.

Взломаны ресурсы киберспортивного сообщества ESEA. Скомпрометированы более 1,5 млн аккаунтов, включая имена пользователей, email адреса, хешированные пароли, даты рождения, телефонные номера и сообщения пользователей. Компания не хранила платежную информацию, а пароли пользователей зашифрованы алгоритмом bcrypt.

Индийские банки столкнулись с проблемой в системе SWIFT, которая используется для безопасного проведения многомиллионных транзакций. Денежных потерь пока не обнаружено, однако, система могла быть использована для фальсификации финансовых документов. По делу проводится судебно-бухгалтерская экспертиза.

Безопасность БД

Oracle выпустил очередной Critical Patch Update, который закрывает 270 уязвимостей на различных платформах. Таблицу рисков можно посмотреть на официальном сайте.

MySQL

Critical Patch Update содержит фиксы для 27 уязвимостей безопасности для Oracle MySQL. Пять из них могут быть использованы удаленно без пользовательских прав.

CVE Рейтинг CVSS Компонент Описание
CVE-2015-7501 8.8

MySQL Enterprise Monitor: General

С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-0635 8.8 MySQL Enterprise Monitor: General С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-0714 8.8 MySQL Enterprise Monitor: General С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-5541 4.8 MySQL Cluster: NDBAPI Позволяет скомпрометировать компонент MySQL Cluster пользователю с доступом в сеть через несколько протоколов. Успешная эксплуатация может стать результатом редактирования, добавления или удаления информации, к которой есть доступ MySQL Cluster, также неавторизованный пользователь может вызвать частичный отказ в обслуживании
CVE-2016-5590 7.2 MySQL Enterprise Monitor: Agent С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через протокол TLS получает возможность взять под контроль компонент MySQL Enterprise Monitor.
CVE-2016-6304 7.5 MySQL Enterprise Monitor: General С помощью уязвимости не аутентифицированный пользователь с доступом к сети через протокол TLS может скомпрометировать компонент MySQL Enterprise Monitor. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Enterprise Monitor.
CVE-2016-8318 6.8 MySQL Server: Encryption С помощью уязвимости не аутентифицированный пользователь с доступом к сети через протокол TLS может скомпрометировать компонент MySQL Server. Атака может существенно повлиять на работу других компонентов. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2016-8327 4.4 MySQL Server: Replication С помощью уязвимости пользователь с высокими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3238 6.5 MySQL Server: Optimizer С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3243 4.4 MySQL Server: Charsets С помощью уязвимости пользователь с высокими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3244 6.5 MySQL Server: DML С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3251 4.9 MySQL Server: Optimizer С помощью уязвимости пользователь с высокими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3256 6.5 MySQL Server: Replication С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3257 6.5 MySQL Server: InnoDB С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3258 6.5 MySQL Server: DDL С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3265 5.6 MySQL Server: Packaging Уязвимость позволяет высокопривилегированному пользователю с доступом в инфраструктуру обработки запросов MySQL Server скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет получить доступ ко всей информации, к которой есть доступ компонента MySQL Server. Также позволяет без авторизации вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3273 6.5 MySQL Server: DDL С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3291 6.3 MySQL Server: Packaging Уязвимость позволяет высокопривилегированному пользователю с доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3312 6.7 MySQL Server: Packaging Уязвимость позволяет высокопривилегированному пользователю с доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет захватить управление компонентом MySQL Server.
CVE-2017-3313 4.7 MySQL Server: MyISAM Уязвимость позволяет пользователю с низкими привилегиями и доступом в инфраструктуру обработки запросов MySQL Server скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет получить доступ ко всей информации, к которой есть доступ компонента MySQL Server.
CVE-2017-3317 4.0 MySQL Server: Logging Уязвимость позволяет пользователю с низкими привилегиями и доступом в инфраструктуру обработки запросов MySQL Server скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет вызвать полный отказ в обслуживании компонента MySQL Server.
CVE-2017-3318 4.0 MySQL Server: Error Handling Уязвимость позволяет высокопривилегированному пользователю с доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Server. Эксплуатация требует участия более одного атакующего. Успешная атака позволяет получить без авторизации доступ к критической информации или полный доступ к информации, к которой есть доступ компонента MySQL Server.
CVE-2017-3319 3.1 MySQL Server: X Plugin Сложная для эксплуатации уязвимость позволяет пользователю с низкими привилегиями и доступом в сеть через несколько протоколов скомпрометировать компонент MySQL Server. Успешная эксплуатация дает права на чтение информации, доступной для компонента MySQL Server.
CVE-2017-3320 2.4 MySQL Server: Encryption уязвимость позволяет пользователю с высокими привилегиями и доступом в сеть через несколько протоколов скомпрометировать компонент MySQL Server. Успешная эксплуатация дает права на чтение информации, доступной для компонента MySQL Server.
CVE-2017-3321 3.7 MySQL Cluster: General С помощью уязвимости пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Cluster. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Cluster.
CVE-2017-3322 3.7 MySQL Cluster: NDBAPI С помощью уязвимости не аутентифицированный пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Cluster. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Cluster.
CVE-2017-3323 3.7 MySQL Cluster: General С помощью уязвимости не аутентифицированный пользователь с низкими привилегиями и доступом в сеть через несколько протоколов получает возможность скомпрометировать компонент MySQL Cluster. Успешная эксплуатация позволяет авторизованному пользователю вызвать полный отказ в обслуживании компонента MySQL Cluster.

Oracle Database Server

Critical Patch Update содержит пять фиксов для уязвимостей безопасности Oracle Database Server, три из которых можно эксплуатировать удаленно.

CVE Рейтинг CVSS Компонент Описание
CVE-2017-3240 3.3 RDBMS Security С помощью уязвимости пользователь с низкими привилегиям и локальным доступом к инфраструктуре компонента RDBMS Security получает возможность скомпрометировать данный компонент. Успешная эксплуатация позволяет получить доступ на чтение информации, доступной для компонента RDBMS Security.
CVE-2017-3310 9.0 OJVM С помощью уязвимости пользователь с привилегиями для выполнения команд Create Session, Create Procedure и доступом к сети через несколько протоколов получает возможность скомпрометировать компонент OJVM. Эксплуатация требует более одного атакующего. Успешная эксплуатация позволяет получить контроль над OJVM.
CVE-2015-1791 5.6 Oracle Secure Backup: OpenSSL С помощью уязвимости не аутентифицированный пользователь с доступом к сети через HTTPS получает возможность скомпрометировать данные криптографического пакета OpenSSL в Oracle Secure Backup. Успешная атака может привезти к удалению, добавлению, изменению данных доступных для  OpenSSL, также к частичному отказу в обслуживании OpenSSL.
CVE-2016-1903 9.1 Oracle Secure Backup: PHP С помощью уязвимости не аутентифицированный пользователь с доступом к сети через HTTPS получает возможность скомпрометировать PHP в компоненте Oracle Secure Backup. Успешная эксплуатация позволяет получить доступ к конфиденциальным данным и всех данных, доступных для PHP, также позволяет вызвать полный отказ в обслуживании.
CVE-2015-3253 9.8 Oracle Big Data Graph: Spatial С помощью уязвимости не аутентифицированный пользователь с доступом к сети через HTTPS получает возможность скомпрометировать компонент Spatial. Успешная эксплуатация позволяет захватить полный контроль над компонентом Spatial.

Pivotal Greenplum Database 4.3.11.3

Релиз новой Greenplum Database содержит следующие изменения:

  • Решена проблема, возникающая при копировании таблиц со множеством ключей распределения в утилите gptransfer.
  • Планировщик запросов мог сгенерировать план, который возвращал неверные результаты запроса. Проблема решена.
  • Устранены причины отказов утилит gpstart/gpstop после перезагрузки сервера.
  • Улучшения производительности компонентов Query Optimizer, Query Planner, Query Execution, Transaction Management,  S3 External Tables.
  • Другие улучшения и изменения скриптов analyzedb, Backup, Restore, recoverseg, gptransfer.
Безопасность баз данных | дайджест за декабрь 2016
Безопасность баз данных | дайджест за ноябрь 2016
Безопасность баз данных | дайджест за октябрь 2016
Комментарии