Спасибо, что выбрали наш продукт!
На указанный Вами E-mail отправлено письмо с кодом активации программы. Если у вас возникнут проблемы с браузером, воспользуйтесь ссылкой на скачивание, продублированной в письме.
К письму также приложена необходимая документация для вашей версии продукта.
Согласно последнему отчету IBM Security, средняя стоимость утечки данных достигла 4 миллионов долларов, что показывает рост в 29% с 2013 года. Каждая потерянная или украденная запись обошлась компаниям примерно в 158 долларов. Число связанных с информационной безопасностью инцидентов выросло на 64%. Результаты отчета указывают на то, что кибератаки становятся изощренней, а жертвам взломщиков приходится платить все больше и больше, напоминая нам о важности идти в ногу со временем, когда дело касается информационной безопасности. В данном дайджесте мы рассмотрим вышедшие за последние месяцы обновления СУБД, а также некоторые важные исправленные уязвимости.
Серьезный патч от Oracle
Oracle продолжает расширять сферу своего влияния, компания заключила сделку на приобретение NetSuite за 9,3 млн долл. Более 30 тысяч организаций пользуются услугами Netflix в сфере программного обеспечения для управления бизнес-операциями и осуществления связи с клиентами. Незадолго до объявления о большой сделке Oracle выпустила очередной Critical Update Patch, побив свой предыдущий рекорд по количеству устраненных неисправностей, решив 276 проблем в различных продуктах, включая Oracle Database Server и Oracle MySQL.
Что касается Oracle MySQL, в Critical Update Patch есть 22 исправления безопасности. Три из устраненных уязвимостей (CVE-2016-2105, CVE-2016-5444, CVE-2016-3452) могут быть использованы злоумышленниками удаленно без аутентификации. Далее представлена таблица рисков Oracle MySQL.
CVE#
CVE-2016-3477
Не требуется
Не требуется
CVE-2016-3471
MySQL Server
Не требуется
CVE-2016-3501
Не требуется
CVE-2016-3521
Не требуется
CVE-2016-3615
Не требуется
CVE-2016-5436
Не требуется
CVE-2016-5437
Не требуется
CVE-2016-5439
Не требуется
CVE-2016-5441
Не требуется
CVE-2016-5443
Не требуется
CVE-2016-3452
Не требуется
Для Oracle Database Server новый патч содержит девять исправлений безопасности. Пять из исправленных уязвимостей (CVE-2016-3506, CVE-2016-3479, CVE-2016-3448, CVE-2016-3467, CVE-2015-0204) могут быть использованы дистанционно без аутентификации.
CVE#
Требуется
CVE-2016-3506
Не требуется
CVE-2016-3489
Не требуется
CVE-2016-3448
Не требуется
CVE-2015-0204
Не требуется
CVE-2016-3484
Не требуется
Среди других продуктов Oracle 19 исправленных уязвимостей имеют рейтинг опасности в 9,8 баллов из 10 возможных. Учитывая данное обстоятельство, для многих пользователей будет очень важно установить новый патч.
Новый MySQL
В июне состоялся выпуск MySQL 5.7.13. Что касается безопасности, в новой версии MySQL имеется SQL-интерфейс для службы управления ключами защиты keyring, реализованный в качестве набора пользовательских функций (UDFs), которые осуществляют доступ к функциям предоставленными keyring-сервисом.
Ниже представлены уязвимости, устраненные в новой версии MySQL:
CVE-2016-2106 (OpenSSL advisory, низкая степень опасности)Переполнение целочисленного значения в функции EVP_EncryptUpdate из директории crypto/evp/evp_enc.c в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h позволяет удаленному взломщику привести систему к отказу в обслуживании (нарушение содержимого в оперативной памяти) в связи с большим объемом данных.
CVE-2016-2105 (OpenSSL advisory, низкая степень опасности)Переполнение целочисленного значения в функции EVP_EncodeUpdate из директории crypto/evp/encode.c в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h позволяет нападающему удаленно привести систему к отказу в обслуживании (нарушение содержимого в оперативной памяти) в связи с большим объемом двоичных данных.
CVE-2016-2109 (OpenSSL advisory, низкая степень опасности)При считывании информации ASN.1 из BIO с помощью функции asn1_d2i_read_bio из директории crypto/asn1/a_d2i_fp.c злоумышленник удаленно может вызвать отказ системы (большая потребность в памяти) с помощью внедрения недопустимого кода.
CVE-2016-2107 (OpenSSL advisory, высокая степень опасности)Взломщик может использовать padding oracle атаку для дешифрации трафика при использовании режима шифрования AES CBC и при поддержке сервером AES-NI. Реализация AES-NI в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h не предусматривает распределение памяти при выполнении определенных проверок дополнения, что позволяет удаленному взломщику получить нешифрованную конфиденциальную информацию. ПРИМЕЧАНИЕ: Данная уязвимость появилась в результате неправильного фикса для CVE-2013-0169.
CVE-2016-2176 (OpenSSL advisory, низкая степень опасности)Функция X509_NAME_oneline из директории crypto/x509/x509_obj.c в OpenSSL версиях до 1.0.1t и 1.0.2, до 1.0.2h позволяет злоумышленникам получить конфиденциальную информацию из памяти стека процесса или вызвать отказы в работе системы (переполнение буфера) с помощью выработанных EBCDIC ASN.1 данных.
Больше обновлений
Greenplum Database 4.3.8.1 является модицификацией текущей версии программы. В новой версии нет каких-либо новых сервисов, но обновление решает некоторые известные проблемы и содержит ряд доработок для сервисов gpdbrestore, gpcheckcat, gpload, внешней таблицы с протоколом s3, расширения MADlib, а также для улучшения рабочих характеристик и стабильности.
В июле вышла Альфа-версия MariaDB 10.2.1. MariaDB 10.2 является модификацией MariaDB 10.1 с некоторыми новыми функциями, которых нет ни в одной из других СУБД, а также с элементами, взятыми из MySQL 5.6 и 5.7.
PostgreSQL Global Development Group объявила о том, что PostgreSQL 9.6 Beta 3 доступен для скачивания. Данное обновление включает ознакомительные версии всех элементов, которые будут доступны в окончательной версии продукта, а также фиксы для множества проблем, обнаруженных в предыдущих бета-версиях. Окончательная версия PostgreSQL 9.6 выйдет в конце 2016 года.