Спасибо, что выбрали наш продукт!
На указанный Вами E-mail отправлено письмо с кодом активации программы. Если у вас возникнут проблемы с браузером, воспользуйтесь ссылкой на скачивание, продублированной в письме.
К письму также приложена необходимая документация для вашей версии продукта.
Предлагаем вашему вниманию обзор наиболее важных событий в сфере безопасности баз данных за прошлый месяц.
Вымогатели перешли на MySQL.
Упомянутые в предыдущем месяце атаки на неправильно настроенные базы данных MongoDB и CouchDB продолжились. Вымогатели перешли и на MySQL. Схема атаки остается такой же простой: найти базу данных с настройками по умолчанию; подобрать пароль для root-пользователя; удалить базу данных и вымогать деньги для восстановления контента.
Такие виды атак можно легко избежать, если соблюдать базовые правила безопасности:
Уязвимость в WordPress к внедрению SQL-кода.
В плагине NextGEN Gallery для WordPress была найдена критическая уязвимость с возможностью удаленной эксплуатации. Она позволяет не аутентифицированному пользователю внедрить в запрос произвольный SQL-код и получить конфиденциальные данные, включая хэши паролей пользователей WordPress.
Уязвимость появилась вследствие неправильной проверки параметров запроса, в результате которой введенные пользователем данные добавляются в SQL-запрос без должной фильтрации. Подвержены все сайты, использующие NextGEN Basic TagCloud Gallery и у которых пользователи имеют возможность делать посты. Уязвимость устранена в NextGEN Gallery версии 2.1.79.
Утечки в Cloudflare
Cloudflare предоставляет сервисы по обслуживанию и обеспечению безопасности для миллионов сайтов. В феврале выяснилось о баге в сервисе CloudFlare, из-за которой происходила утечка критических данных, начиная с сентября 2016 по февраль 2017.
Судя по отчету Clodflare, проблема возникла в HTML-парсере, используемом в следующих программных сервисах: Automatic HTTP Rewrite, Email Obfuscation, Server-Side Exclude. Ошибка вызывает переполнение буфера на крайних серверах, вследствие чего они возвращают дампы памяти, содержащие персональные данные, такие как токены аутентификации, HTTP-куки, запросы POST и некоторые другие данные. Все сервисы, в которых возникала утечка памяти, были остановлены, как только наличие проблемы подтвердилось.
Серьезных последствий удалось избежать. Cloudflare совместно с поставщиками поисковых систем.
Уязвимости и релизы СУБД
CVE-2017-3302Подверженные версии: Oracle MySQL до 5.6.21, до 5.7.5 и MariaDB до 5.5.54, 10.0.29, 10.1.21, 10.2.3. Рейтинг опасности CVSS: 7.5 Позволяет не аутентифицированному пользователю без привилегий вызвать крэш в libmysqlclient.so.
Релиз Percona Server 5.7.17-11 добавляет два новых сервиса и решает известные ошибки. Наиболее важные из них включают:
Также вышел релиз Percona Server для MongoDB 3.4.
Первая предвыпускная версия была выпущена для Maria 10.2. Чтобы узнать подробности обновление обратитесь к примечаниям к выпуску.
Вышли релизы в для PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 и 9.2.20. Релиз содержит исправления более 75 ошибок, в том числе: