Компания Gemalto опубликовала результаты исследования по утечкам данных за прошлый год. Исходя из отчета, утечки участились на 86% по сравнению с 2015 годом. Всего за 2016 год выявлено 1,4 млрд скомпрометированных записей. Чтобы держать вас в курсе последних тенденций, мы собрали наиболее важные события в сфере безопасности баз данных за прошлый месяц.

Утечки данных

ФБР предупредило о повышении активности злоумышленников, нацеленных на получение медицинских данных, хранящихся на FTP-серверах с разрешенным анонимным входом. Администраторам рекомендуется удостоверится, что на таких серверах не хранится персональная и медицинская информация пациентов.

Выдвинуто обвинение по отношению к двум российским хакерам и двум агентам ФСБ по делу о нашумевшей атаке на Yahoo!. Один из обвиняемых арестован в Канаде. Согласно обвинительному акту, офицеры ФСБ объединились с хакерами для взлома сети Yahoo! и получили доступ к данным о пользователях, а также защищенную правом собственности информацию о cookie-файлах, используемых для доступа к аккаунтам Yahoo!. Целью атаки являлась не только разведка, но и личное обогащение. Известно, что один из обвиняемых использовал платежные данные украденных аккаунтов.

Тем временем, в темной сети выставлены на продажу один миллион аккаунтов Yahoo! и Gmail.

В декабре 2013 года американская торговая компания класса люкс Neiman Marcus подверглась атаке и скомпрометировала данные кредитных карт 350 тысяч клиентов. В ходе разбирательств, суд обязал Neiman Marcus выплатить 1,6 млн долларов. Теперь компания лишится крупной суммы из-за несоблюдения требований законов об информационной безопасности.

Британская ассоциация туроператоров ABTA сообщила клиентам об утечке данных. Украденные данные могут включать персональные данные, email-адреса, зашифрованные пароли 43 тысяч клиентов ABTA. Компания заявила, что большинство паролей было зашифрованным, и риск использования идентификационных данных минимален.

Безопасность баз данных

В марте Percona объявила о выходе релиза Percona Server 5.7.17-12 основанной на MySQL 5.7.17. Релиз содержит фиксы на известные баги и крэши. В новой версии добавлена утилита для создания резервных копий mysqldump, которая, как оказалось, содержит уязвимость.

CVE-2016-5483

Уязвимость в утилите mysqldump, которая позволяет выполнить произвольные SQL-запросы и shell-команды во время восстановления резервной копии. Для эксплуатации требуются привилегии на создание таблиц.

MariaDB 10.1.22

Кроме разрешения некоторых багов, новая версия MariaDB устраняет две уязвимости:

CVE-2017-3313

Уровень опасности по CVSS: 4.7

Локально эксплуатируемая уязвимость в MySQL Server (субкомпонент MyISAM) позволяет злоумышленнику с низким уровнем привилегий и доступом в инфраструктуру MySQL Server скоспрометировать MySQL server. Успешная атака позволяет без авторизации получить доступ к критическим данным или ко всем данным, доступным для MySQL Server.

CVE-2017-3302

Уровень опасности по CVSS: 7.5

Удаленно эксплуатируемая уязвимость, позволяющая вывести из строя сервис libmysqlclient.so. Подвержены версии MariaDB до 5.5.54 и 10.0.29, Oracle MySQL до 5.6.21и 5.7.5.

CVE-2016-6225

Уровень опасности по CVSS: 5.9

Найдена уязвимость в утилите xbcrypt в Percona XtraBackup версий до 2.3.6 и 2.4.5, появившаяся в результате неполного фикса для CVE-2013-6394. Утилита хbcrypt поддерживает шифррование и расшифрование резервных копий. Как оказалось, утилита не не устанавливает в должном порядке вектор инициализации (IV) для шифрования, позволяя злоумышленнику получить конфиденциальные данные из зашифрованных резервных файлов путем путем атаки на основе подобранного открытого текста.

CVE-2017-1150

Уровень опасности по CVSS: 3.1

Удаленно эксплуатируемая уязвимость в IBM DB2 позволяет аутентифицированному злоумышленнику просматривать таблицы, на которые у него нет доступа.

SAP HANA Security Patch

SAP устраняет несколько критических уязвимостей в облачной платформе HANA, эксплуатация которых может закончиться полным доступом к системе без требования подтверждения прав на доступ. Злоумышленник может похитить конфиденциальные данные, остановить важные процессы, внести изменения в HTML код сайта на платформе HANA XS, и ему даже не потребуется вводить логин и пароль.

Уязвимостям подвержен компонент User Self Service (USS), который позволяет пользователям регистрироваться на сайте, менять и восстанавливать пароли. По умолчанию сервис отключен, но некоторые пользователи включают его ради предоставляемого функционала. Уязвимость позволяет получить полный контроль над БД без аутентификации. Уровень опасности по CVSS 9.8.

Другая устраненная брешь в безопасности позволяет повышать привилегии, выдавая себя под другого пользователя. Уровень опасности по CVSS — 8.8.

Патч также применяет ряд улучшений для противодействия DoS, удаленному внедрению кода, XSS и SQL инъекций. Разработчики рекомендуют установитч патч в ближайшее время.

Безопасность баз данных | дайджест за февраль 2017
Безопасность баз данных | дайджест за январь 2017
Безопасность баз данных | дайджест за декабрь 2016
Комментарии