Согласно последнему отчету IBM Security, средняя стоимость утечки данных достигла 4 миллионов долларов, что показывает рост в 29% с 2013 года. Каждая потерянная или украденная запись обошлась компаниям примерно в 158 долларов. Число связанных с информационной безопасностью инцидентов выросло на 64%. Результаты отчета указывают на то, что кибератаки становятся изощренней, а жертвам взломщиков приходится платить все больше и больше, напоминая нам о важности идти в ногу со временем, когда дело касается информационной безопасности. В данном дайджесте мы рассмотрим вышедшие за последние месяцы обновления СУБД, а также некоторые важные исправленные уязвимости.

Серьезный патч от Oracle

Oracle продолжает расширять сферу своего влияния, компания заключила сделку на приобретение NetSuite за 9,3 млн долл. Более 30 тысяч организаций пользуются услугами Netflix в сфере программного обеспечения для управления бизнес-операциями и осуществления связи с клиентами. Незадолго до объявления о большой сделке Oracle выпустила очередной Critical Update Patch, побив свой предыдущий рекорд по количеству устраненных неисправностей, решив 276 проблем в различных продуктах, включая Oracle Database Server и Oracle MySQL.

Что касается Oracle MySQL, в Critical Update Patch есть 22 исправления безопасности. Три из устраненных уязвимостей (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) могут быть использованы злоумышленниками удаленно без аутентификации. Далее представлена таблица рисков Oracle MySQL.

CVE#

Компонент Подкомпонент Протокол Возможность удаленного использования без аутентификации Рейтинг CVSS Вектор атаки Уровень сложности атаки Уровни требуемых привилегий Взаимодействие с пользователем

CVE-2016-3477

MySQL Server Server: Анализатор Не используется Нет 8.1 Локальный объект Высокий Не требуются Не требуется
CVE-2016-3440 MySQL Server Server: Оптимизатор MySQL Protocol Нет 7.7 Сеть Низкий Низкий

Не требуется

CVE-2016-2105 MySQL Server Server: Security: Шифрование MySQL Protocol Да 7.5 Сеть Низкий Не требуются

Не требуется

CVE-2016-3471

MySQL Server

Server: Option Не используется Нет 7.5 Локальный объект Высокий Высокий Не требуется
CVE-2016-3486 MySQL Server Server: FTS MySQL Protocol Нет 6.5 Сеть Низкий Низкий

Не требуется

CVE-2016-3501

MySQL Server Server: Оптимизатор MySQL Protocol Нет 6.5 Сеть Низкий Низкий Не требуется
CVE-2016-3518 MySQL Server Server: Оптимизатор MySQL Protocol Нет 6.5 Сеть Низкий Низкий

Не требуется

CVE-2016-3521

MySQL Server Server: Типы MySQL Protocol Нет 6.5 Сеть Низкий Низкий Не требуется
CVE-2016-3588 MySQL Server Server: InnoDB MySQL Protocol Нет 5.9 Сеть Высокий Низкий

Не требуется

CVE-2016-3615

MySQL Server Server: DML MySQL Protocol Нет 5.3 Сеть Высокий Низкий Не требуется
CVE-2016-3614 MySQL Server Server: Security: Шифрование MySQL Protocol Нет 5.3 Сеть Высокий Низкий

Не требуется

CVE-2016-5436

MySQL Server Server: InnoDB MySQL Protocol Нет 4.9 Сеть Низкий Высокий Не требуется
CVE-2016-3459 MySQL Server Server: InnoDB MySQL Protocol Нет 4.9 Сеть Низкий Высокий

Не требуется

CVE-2016-5437

MySQL Server Server: Log MySQL Protocol Нет 4.9 Сеть Низкий Высокий Не требуется
CVE-2016-3424 MySQL Server Server: Оптимизатор MySQL Protocol Нет 4.9 Сеть Низкий Высокий

Не требуется

CVE-2016-5439

MySQL Server Server: Привилегии MySQL Protocol Нет 4.9 Сеть Низкий Высокий Не требуется
CVE-2016-5440 MySQL Server Server: RBR MySQL Protocol Нет 4.9 Сеть Низкий Высокий

Не требуется

CVE-2016-5441

MySQL Server Server: Репликация MySQL Protocol Нет 4.9 Сеть Низкий Высокий Не требуется
CVE-2016-5442 MySQL Server Server: Security: Шифрование MySQL Protocol Нет 4.9 Сеть Низкий Высокий

Не требуется

CVE-2016-5443

MySQL Server Server: Соединение Не используется Нет 4.7 Локальный объект Высокий Не требуются Требуется
CVE-2016-5444 MySQL Server Server: Соединение MySQL Protocol Да 3.7 Сеть Высокий Не требуются

Не требуется

CVE-2016-3452

MySQL Server Server: Security: Шифрование MySQL Protocol Да 3.7 Сеть Высокий Не требуются

Не требуется


Для Oracle Database Server новый патч содержит девять исправлений безопасности. Пять из исправленных уязвимостей (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) могут быть использованы дистанционно без аутентификации.


Таблица рисков Oracle Database Server

CVE#

Компонент Требуемые привилегии Протокол Возможность удаленного использования без аутентификации Рейтинг CVSS Вектор атаки Уровень сложности атаки Уровни требуемых привилегий Взаимодействие с пользователем
CVE-2016-3609 OJVM Create Session Множество Нет 9.0 Сеть Низкий Низкий

Требуется

CVE-2016-3506

JDBC Не требуется Oracle Net Да 8.1 Сеть Высокий Не требуются Не требуется
CVE-2016-3479 Portable Clusterware Не требуется Oracle Net Да 7.5 Сеть Низкий Не требуются

Не требуется

CVE-2016-3489

Data Pump Import Index on SYS.INCVID Oracle Net Нет 6.7 Локальный объект Низкий Высокий

Не требуется

CVE-2016-3448

Application Express Не требуется HTTP Да 6.1 Сеть Низкий Не требуются Требуется
CVE-2016-3467 Application Express Не требуется HTTP Да 5.8 Сеть Низкий Не требуются

Не требуется

CVE-2015-0204

RDBMS HTTPS Listener HTTPS Да 5.3 Сеть Высокий Не требуются Требуется
CVE-2016-3488 DB Sharding Execute on gsmadmin_internal Oracle Net Нет 4.4 Локальный объект Низкий Высокий

Не требуется

CVE-2016-3484

Database Vault Create Public Synonym Oracle Net Нет 3.4 Локальный объект Низкий Высокий

Не требуется

 

Среди других продуктов Oracle 19 исправленных уязвимостей имеют рейтинг опасности в 9,8 баллов из 10 возможных. Учитывая данное обстоятельство, для многих пользователей будет очень важно установить новый патч.

Новый MySQL

В июне состоялся выпуск MySQL 5.7.13. Что касается безопасности, в новой версии MySQL имеется SQL-интерфейс для службы управления ключами защиты keyring, реализованный в качестве набора пользовательских функций (UDFs), которые осуществляют доступ к функциям предоставленными keyring-сервисом.

Ниже представлены уязвимости, устраненные в новой версии MySQL:

CVE-2016-2106 (OpenSSL advisory, низкая степень опасности)

Переполнение целочисленного значения в функции EVP_EncryptUpdate из директории crypto/evp/evp_enc.c в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h позволяет удаленному взломщику привести систему к отказу в обслуживании (нарушение содержимого в оперативной памяти) в связи с большим объемом данных.

  CVE-2016-2105 (OpenSSL advisory, низкая степень опасности)

Переполнение целочисленного значения в функции EVP_EncodeUpdate из директории crypto/evp/encode.c в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h позволяет нападающему удаленно привести систему к отказу в обслуживании (нарушение содержимого в оперативной памяти) в связи с большим объемом двоичных данных.

  CVE-2016-2109 (OpenSSL advisory, низкая степень опасности)

При считывании информации ASN.1 из BIO с помощью функции asn1_d2i_read_bio из директории crypto/asn1/a_d2i_fp.c злоумышленник удаленно может вызвать отказ системы (большая потребность в памяти) с помощью внедрения недопустимого кода.

  CVE-2016-2107 (OpenSSL advisory, высокая степень опасности)

Взломщик может использовать padding oracle атаку для дешифрации трафика при использовании режима шифрования AES CBC и при поддержке сервером AES-NI. Реализация AES-NI в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h не предусматривает распределение памяти при выполнении определенных проверок дополнения, что позволяет удаленному взломщику получить нешифрованную конфиденциальную информацию. ПРИМЕЧАНИЕ: Данная уязвимость появилась в результате неправильного фикса для CVE-2013-0169.

  CVE-2016-2176 (OpenSSL advisory, низкая степень опасности)

Функция X509_NAME_oneline из директории crypto/x509/x509_obj.c в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h позволяет злоумышленникам получить конфиденциальную информацию из памяти стека процесса или вызвать отказы в работе системы (переполнение буфера) с помощью выработанных EBCDIC ASN.1 данных.

 

Больше обновлений

 

Greenplum Database 4.3.8.1 является модицификацией текущей версии программы. В новой версии нет каких-либо новых сервисов, но обновление решает некоторые известные проблемы и содержит ряд доработок для сервисов gpdbrestore, gpcheckcat, gpload, внешней таблицы с протоколом s3, расширения MADlib, а также для улучшения рабочих характеристик и стабильности.

В июле вышла Альфа-версия MariaDB 10.2.1.  MariaDB 10.2 является модификацией MariaDB 10.1 с некоторыми новыми функциями, которых нет ни в одной из других СУБД, а также с элементами, взятыми из MySQL 5.6 и 5.7.

PostgreSQL Global Development Group объявила о том, что PostgreSQL 9.6 Beta 3 доступен для скачивания. Данное обновление включает ознакомительные версии всех элементов, которые будут доступны в окончательной версии продукта, а также фиксы для множества проблем, обнаруженных в предыдущих бета-версиях. Окончательная версия PostgreSQL 9.6 выйдет в конце 2016 года.

Комментарии