Спасибо, что выбрали наш продукт!
На указанный Вами E-mail отправлено письмо с кодом активации программы. Если у вас возникнут проблемы с браузером, воспользуйтесь ссылкой на скачивание, продублированной в письме.
К письму также приложена необходимая документация для вашей версии продукта.
Компания Gemalto опубликовала результаты исследования по утечкам данных за прошлый год. Исходя из отчета, утечки участились на 86% по сравнению с 2015 годом. Всего за 2016 год выявлено 1,4 млрд скомпрометированных записей. Чтобы держать вас в курсе последних тенденций, мы собрали наиболее важные события в сфере безопасности баз данных за прошлый месяц.
Утечки данных
ФБР предупредило о повышении активности злоумышленников, нацеленных на получение медицинских данных, хранящихся на FTP-серверах с разрешенным анонимным входом. Администраторам рекомендуется удостоверится, что на таких серверах не хранится персональная и медицинская информация пациентов.
Выдвинуто обвинение по отношению к двум российским хакерам и двум агентам ФСБ по делу о нашумевшей атаке на Yahoo!. Один из обвиняемых арестован в Канаде. Согласно обвинительному акту, офицеры ФСБ объединились с хакерами для взлома сети Yahoo! и получили доступ к данным о пользователях, а также защищенную правом собственности информацию о cookie-файлах, используемых для доступа к аккаунтам Yahoo!. Целью атаки являлась не только разведка, но и личное обогащение. Известно, что один из обвиняемых использовал платежные данные украденных аккаунтов.
Тем временем, в темной сети выставлены на продажу один миллион аккаунтов Yahoo! и Gmail.
В декабре 2013 года американская торговая компания класса люкс Neiman Marcus подверглась атаке и скомпрометировала данные кредитных карт 350 тысяч клиентов. В ходе разбирательств, суд обязал Neiman Marcus выплатить 1,6 млн долларов. Теперь компания лишится крупной суммы из-за несоблюдения требований законов об информационной безопасности.
Британская ассоциация туроператоров ABTA сообщила клиентам об утечке данных. Украденные данные могут включать персональные данные, email-адреса, зашифрованные пароли 43 тысяч клиентов ABTA. Компания заявила, что большинство паролей было зашифрованным, и риск использования идентификационных данных минимален.
Безопасность баз данных
В марте Percona объявила о выходе релиза Percona Server 5.7.17-12 основанной на MySQL 5.7.17. Релиз содержит фиксы на известные баги и крэши. В новой версии добавлена утилита для создания резервных копий mysqldump, которая, как оказалось, содержит уязвимость.
CVE-2016-5483Уязвимость в утилите mysqldump, которая позволяет выполнить произвольные SQL-запросы и shell-команды во время восстановления резервной копии. Для эксплуатации требуются привилегии на создание таблиц.
MariaDB 10.1.22
Кроме разрешения некоторых багов, новая версия MariaDB устраняет две уязвимости:
CVE-2017-3313Уровень опасности по CVSS: 4.7
Локально эксплуатируемая уязвимость в MySQL Server (субкомпонент MyISAM) позволяет злоумышленнику с низким уровнем привилегий и доступом в инфраструктуру MySQL Server скоспрометировать MySQL server. Успешная атака позволяет без авторизации получить доступ к критическим данным или ко всем данным, доступным для MySQL Server.
CVE-2017-3302Уровень опасности по CVSS: 7.5
Удаленно эксплуатируемая уязвимость, позволяющая вывести из строя сервис libmysqlclient.so. Подвержены версии MariaDB до 5.5.54 и 10.0.29, Oracle MySQL до 5.6.21и 5.7.5.
CVE-2016-6225Уровень опасности по CVSS: 5.9
Найдена уязвимость в утилите xbcrypt в Percona XtraBackup версий до 2.3.6 и 2.4.5, появившаяся в результате неполного фикса для CVE-2013-6394. Утилита хbcrypt поддерживает шифррование и расшифрование резервных копий. Как оказалось, утилита не не устанавливает в должном порядке вектор инициализации (IV) для шифрования, позволяя злоумышленнику получить конфиденциальные данные из зашифрованных резервных файлов путем путем атаки на основе подобранного открытого текста.
CVE-2017-1150Уровень опасности по CVSS: 3.1
Удаленно эксплуатируемая уязвимость в IBM DB2 позволяет аутентифицированному злоумышленнику просматривать таблицы, на которые у него нет доступа.
SAP HANA Security Patch
SAP устраняет несколько критических уязвимостей в облачной платформе HANA, эксплуатация которых может закончиться полным доступом к системе без требования подтверждения прав на доступ. Злоумышленник может похитить конфиденциальные данные, остановить важные процессы, внести изменения в HTML код сайта на платформе HANA XS, и ему даже не потребуется вводить логин и пароль.
Уязвимостям подвержен компонент User Self Service (USS), который позволяет пользователям регистрироваться на сайте, менять и восстанавливать пароли. По умолчанию сервис отключен, но некоторые пользователи включают его ради предоставляемого функционала. Уязвимость позволяет получить полный контроль над БД без аутентификации. Уровень опасности по CVSS — 9.8.
Другая устраненная брешь в безопасности позволяет повышать привилегии, выдавая себя под другого пользователя. Уровень опасности по CVSS — 8.8.
Патч также применяет ряд улучшений для противодействия DoS, удаленному внедрению кода, XSS и SQL инъекций. Разработчики рекомендуют установитч патч в ближайшее время.
Безопасность баз данных | дайджест за февраль 2017 Безопасность баз данных | дайджест за январь 2017 Безопасность баз данных | дайджест за декабрь 2016