Предлагаем вашему вниманию обзор наиболее важных событий в сфере безопасности баз данных за прошлый месяц.

Вымогатели перешли на MySQL.

Упомянутые в предыдущем месяце атаки на неправильно настроенные базы данных MongoDB и CouchDB продолжились. Вымогатели перешли и на MySQL. Схема атаки остается такой же простой: найти базу данных с настройками по умолчанию; подобрать пароль для root-пользователя; удалить базу данных и вымогать деньги для восстановления контента.

Такие виды атак можно легко избежать, если соблюдать базовые правила безопасности:

  • Установить последнюю версию СУБД.
  • Не оставлять пароль по умолчанию для root-пользователя. Назначить для паролей всех пользователей сложные комбинации, используя рандомный генератор.
  • Осуществлять мониторинг активности баз данных быстрого реагирования в случае атаки.

Уязвимость в WordPress к внедрению SQL-кода.

В плагине NextGEN Gallery для WordPress была найдена критическая уязвимость с возможностью удаленной эксплуатации. Она позволяет не аутентифицированному пользователю внедрить в запрос произвольный SQL-код и получить конфиденциальные данные, включая хэши паролей пользователей WordPress.

Уязвимость появилась вследствие неправильной проверки параметров запроса, в результате которой введенные пользователем данные добавляются в SQL-запрос без должной фильтрации. Подвержены все сайты, использующие NextGEN Basic TagCloud Gallery и у которых пользователи имеют возможность делать посты. Уязвимость устранена в NextGEN Gallery версии 2.1.79.

Утечки в Cloudflare

Cloudflare предоставляет сервисы по обслуживанию и обеспечению безопасности для миллионов сайтов. В феврале выяснилось о баге в сервисе CloudFlare, из-за которой происходила утечка критических данных, начиная с сентября 2016 по февраль 2017.

Судя по отчету Clodflare, проблема возникла в HTML-парсере, используемом в следующих программных сервисах: Automatic HTTP Rewrite, Email Obfuscation, Server-Side Exclude. Ошибка вызывает переполнение буфера на крайних серверах, вследствие чего они возвращают дампы памяти, содержащие персональные данные, такие как токены аутентификации, HTTP-куки, запросы POST и некоторые другие данные. Все сервисы, в которых возникала утечка памяти, были остановлены, как только наличие проблемы подтвердилось.

Серьезных последствий удалось избежать. Cloudflare совместно с поставщиками поисковых систем.

Уязвимости и релизы СУБД

CVE-2017-3302

Подверженные версии: Oracle MySQL до 5.6.21, до 5.7.5 и MariaDB до 5.5.54, 10.0.29, 10.1.21, 10.2.3.
Рейтинг опасности CVSS: 7.5
Позволяет не аутентифицированному пользователю без привилегий вызвать крэш в libmysqlclient.so.

Релиз Percona Server 5.7.17-11 добавляет два новых сервиса и решает известные ошибки. Наиболее важные из них включают:

  • Поддержка компрессии VARCHAR/BLOB для движка базы данных XtraDB. Добавлена поддержка библиотеки для компрессии для улучшения коэффициента сжатия для отдельных коротких столбцов, таких как данные в формате JSON.
  • Повторное внедрение функции Kill Idle Transactions решает проблему крэшей на серверах. Сейчас функция может быть использована в любом транзакционном движке БД (TokuDB, MyRocks). Для предотвращения повышения привилегий, режим mysql_safe ограничивает использование rm и chown. Команда chown теперь может быть использована только для директории /var/log.

Также вышел релиз Percona Server для MongoDB 3.4.

Первая предвыпускная версия была выпущена для Maria 10.2. Чтобы узнать подробности обновление обратитесь к примечаниям к выпуску.

Вышли релизы в для PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 и 9.2.20. Релиз содержит исправления более 75 ошибок, в том числе:

  • Состояние гонки при вызове команды CREATE INDEX CONCURRENTLY для не проиндексированного столбца, что приводило к повреждению данных.
  • Улучшения стабильности видимых данных и предварительного логирование (write-ahead logging).
Безопасность баз данных | дайджест за январь 2017
Безопасность баз данных | дайджест за декабрь 2016
Безопасность баз данных | дайджест за ноябрь 2016
Комментарии