На фоне массивных утечек данных в предыдущих месяцах, октябрь выдался относительно спокойным.

Guccifer 2.0 заявил о взломе системы благотворительного фонда Clinton Foundation и выложил предположительно достоверные документы. На своем сайте хакер написал, что взлом был лишь вопросом времени, поскольку в штабе фонда Клинтона не придают большого значения информационной безопасности.

В организации Modern Business Systems произошла утечка данных. Скомпрометированы аккаунты 58 миллионов пользователей, включая имена, почтовые и IP-адреса, номера телефонов. Компания-разработчик игр Evony Gaming также стала жертвой взлома. Похищены данные 33 млн. пользователей с паролями и email-адресами.

Новые бреши в MySQL

В MySQL и ее производных PerconaDB, MariaDB обнаружены две серьезные уязвимости, позволяющие повысить привилегии пользователя. Разработчики уже выпустили обновления, устраняющие проблему.

CVE-2016-6663 и CVE-2016-6664 (в документации Oracle обозначены как CVE-2016-5616 и CVE-2016-5617 соответственно). CVE-2016-6663 упрощает эксплуатацию упомянутой в предыдущем дайджесте CVE-2016-6662. Ошибка позволяет пользователю с низким уровнем привилегий повысить его и выполнить произвольный код. Злоумышленник сможет эксплуатировать уязвимость, если ему удастся найти брешь в коде сайте и получить доступ к системе в качестве пользователя с низким уровнем привилегий. Также может быть использована в виртуальном хостинге, где у каждого пользователя есть доступ только к определенной базе данных.

CVE-2016-6663 может быть использован совместно с CVE-2016-6662 или CVE-2016-6664, что позволяет получить полномочия root-пользователя и скомпрометировать всю систему. Эксплоит выставлен в свободном доступе в интернете, появилось даже видео с подробными инструкциями, поэтому пользователям подверженных версий СУБД не следует медлить с обновлением.

Подвержены данным уязвимости Oracle MySQL версий до 5.5.51, 5.6.32, 5.7.14. Октябрьский Critical Patch Update решает обе проблемы. Percona также объявила об устранении уязвимостей в новой версии Percona Server. MariaDB пропатчила CVE-2016-6663, оставив без внимания CVE-2016-6664 до релиза следующей отладочной версии, аргументировав свое решение невозможностью ее эксплуатации без CVE-2016-6663.

Фиксы от Oracle

Oracle провозгласил релиз нового Critical PatchUpdate, который устраняет 253 уязвимости на различных платформах. Для Oracle Database Server патч содержит 12 исправлений брешей в безопасности, одна из которых может быть использована удаленно без требования данных пользователя.

CVE №КомпонентТребуемые привилегииПротоколУдаленное использование без аутентификацииРейтинг CVSSВектор атакиУровень требуемых привилегийПодверженные версии
CVE-2016-5555OJVMCreate Session, Create ProcedureМножество протоколовНет9.1УдаленныйВысокий11.2.0.4, 12.1.0.2
CVE-2016-5572Kernel PDBCreate SessionOracle NetНет6.4ЛокальныйВысокий12.1.0.2
CVE-2016-5497RDBMS SecurityCreate SessionOracle NetНет6.4ЛокальныйВысокий12.1.0.2
CVE-2010-5312Application ExpressНе требуютсяHTTPДа6.1УдаленныйНе требуютсядо 5.0.4.00.07
CVE-2016-5516Kernel PDBDBMS_PDB EXEC_SQLOracle NetНет6.0ЛокальныйВысокий12.1.0.2
CVE-2016-5505RDBMS Programmable InterfaceCreate SessionOracle NetНет5.5ЛокальныйНизкий11.2.0.4, 12.1.0.2
CVE-2016-5498RDBMS SecurityCreate SessionOracle NetНет3.3ЛокальныйНизкий11.2.0.4, 12.1.0.2
CVE-2016-5499RDBMS SecurityCreate SessionOracle NetНет3.3ЛокальныйНизкий11.2.0.4, 12.1.0.2
CVE-2016-3562RDBMS Security и SQL*PlusDBAOracle NetНет2.4УдаленныйВысокий11.2.0.4, 12.1.0.2

Oracle MySQL

Для Oracle MySQL устранена 31 уязвимость, 2 из которых могут быть использованы удаленно без аутентификации.

CVE №КомпонентПодкомпонентПротоколУдаленное использование без аутентификацииРейтинг CVSSВектор атакиУровень требуемых привилегийПодверженные версии
CVE-2016-6304MySQL ServerServer: Security: EncryptionMySQL ProtocolДа7.5УдаленныйНе требуется5.6.33, 5.7.15 и более ранние
CVE-2016-6662MySQL ServerServer: LoggingНе требуетсяНет7.2ЛокальныйВысокий5.5.52, 5.6.33, 5.7.15 и более ранние
CVE-2016-5617MySQL ServerServer: Error HandlingНе требуетсяНет7.0ЛокальныйНизкий5.5.51, 5.6.32, 5.7.14 и более ранние
CVE-2016-5616MySQL ServerServer: MyISAMНе требуетсяНет7.0ЛокальныйНизкий5.5.51, 5.6.32, 5.7.14 и более ранние
CVE-2016-5625MySQL ServerServer: PackagingНе требуетсяНет7.0ЛокальныйНизкий5.7.14 и более ранние
CVE-2016-5609MySQL ServerServer: DMLMySQL ProtocolНет6.5УдаленныйНизкий5.6.31, 5.7.13 и более ранние
CVE-2016-5612MySQL ServerServer: DMLMySQL ProtocolНет6.5УдаленныйНизкий5.5.50, 5.6.31, 5.7.13 и более ранние
CVE-2016-5624MySQL ServerServer: DMLMySQL ProtocolНет6.5УдаленныйНизкий5.5.51 и более ранние
CVE-2016-5626MySQL ServerServer: GISMySQL ProtocolНет6.5УдаленныйНизкий5.5.51, 5.6.32, 5.7.14 и более ранние
CVE-2016-5627MySQL ServerServer: InnoDBMySQL ProtocolНет6.5УдаленныйНизкий5.6.31, 5.7.13 и более ранние
CVE-2016-3492MySQL ServerServer: OptimizerMySQL ProtocolНет6.5УдаленныйНизкий5.5.51, 5.6.32, 5.7.14 an и более ранние d earlier
CVE-2016-5598MySQL ConnectorConnector/PythonMySQL ProtocolДа5.6УдаленныйНе требуется2.1.3, 2.0.4 и более ранние
CVE-2016-7440MySQL ServerServer: Security: EncryptionНе требуетсяНет5.1ЛокальныйНе требуется5.5.52, 5.6.33, 5.7.15 и более ранние
CVE-2016-5628MySQL ServerServer: DMLMySQL ProtocolНет4.9УдаленныйВысокий5.7.13 и более ранние
CVE-2016-5629MySQL ServerServer: FederatedMySQL ProtocolНет4.9УдаленныйВысокий5.5.51, 5.6.32, 5.7.14 и более ранние
CVE-2016-3495MySQL ServerServer: InnoDBMySQL ProtocolНет4.9УдаленныйВысокий5.7.13 и более ранние
CVE-2016-5630MySQL ServerServer: InnoDBMySQL ProtocolНет4.9УдаленныйВысокий5.6.31, 5.7.13 и более ранние
CVE-2016-5507MySQL ServerServer: InnoDBMySQL ProtocolНет4.9УдаленныйВысокий5.6.32, 5.7.14 и более ранние
CVE-2016-5631MySQL ServerServer: MemcachedMySQL ProtocolНет4.9УдаленныйВысокий5.7.13 и более ранние
CVE-2016-5632MySQL ServerServer: OptimizerMySQL ProtocolНет4.9УдаленныйВысокий5.7.14 и более ранние
CVE-2016-5633MySQL ServerServer: Performance SchemaMySQL ProtocolНет4.9УдаленныйВысокий5.7.13 и более ранние
CVE-2016-5634MySQL ServerServer: RBRMySQL ProtocolНет4.9УдаленныйВысокий5.7.13 и более ранние
CVE-2016-5635MySQL ServerServer: Security: AuditMySQL ProtocolНет4.9УдаленныйВысокий5.7.13 и более ранние
CVE-2016-8289MySQL ServerServer: InnoDBНе требуетсяНет4.7ЛокальныйВысокий5.7.13 и более ранние
CVE-2016-8287MySQL ServerServer: ReplicationMySQL ProtocolНет4.5УдаленныйВысокий5.7.13 и более ранние
CVE-2016-8290MySQL ServerServer: Performance SchemaMySQL ProtocolНет4.4УдаленныйВысокий5.7.13 и более ранние
CVE-2016-5584MySQL ServerServer: Security: EncryptionMySQL ProtocolНет4.4УдаленныйВысокий5.5.52, 5.6.33, 5.7.15 и более ранние
CVE-2016-8283MySQL ServerServer: TypesMySQL ProtocolНет4.3УдаленныйНизкий5.5.51, 5.6.32, 5.7.14 и более ранние
CVE-2016-8288MySQL ServerServer: InnoDB PluginMySQL ProtocolНет3.1УдаленныйНизкий5.6.30, 5.7.12 и более ранние
CVE-2016-8286MySQL ServerServer: Security: PrivilegesMySQL ProtocolНет3.1УдаленныйНизкий5.7.14 и более ранние
CVE-2016-8284MySQL ServerServer: ReplicationНе требуетсяНет1.8ЛокальныйВысокий5.6.31, 5.7.13 и более ранние

Greenplum Database 4.3.10.0

Новая версия вводит новые функции, разрешает известные проблемы и содержит улучшения в работе СУБД.

Добавление символов \, ‘, <,> во внешние таблицы с протоколом gphdfs представляло собой потенциальную уязвимость. Проблема была разрешена.

MariaDB 10.0.28

Новая версия содержит обновления для XtraDB, TokuDB, Innodb, Performance Schema и устраняет ряд уязвимостей:

CVE-2016-5616  (CVE-2016-6663 у Oracle) позволяет локальному пользователю воздействовать на конфиденциальность, целостность и доступность данных путем атаки на подкомпонент СУБД Server: MyISAM.

Уровень опасности по CVSS: 7.0

CVE-2016-5624  позволяет удаленному пользователю изменить настройки доступности данных. Вектор атаки связан с DML.

Уровень опасности по CVSS: 6.5

CVE-2016-5626 позволяет аутентифицированному пользователю изменить настройки доступности данных. Вектор атаки связан с GIS.

Уровень опасности по CVSS: 6.5

CVE-2016-3492 позволяет локальному пользователю изменить настройки доступности данных путем атаки на подкомпонент СУБД Server: Optimizer.

Уровень опасности по CVSS: 6.5

CVE-2016-5629 позволяет администратору удаленно изменить настройки доступности данных, воздействуя на подкомпонент Server: Federated.

Уровень опасности по CVSS: 4.9

CVE-2016-8283 позволяет аутентифицированному пользователю изменить настройки доступности данных, воздействуя на подкомпонент Server: Types.

Уровень опасности по CVSS: 4.3

CVE-2016-7440 – информации о данной уязвимости пока нет в свободном доступе.

CVE-2016-5584 позволяет администратору удаленно воздействовать на конфиденциальность данных. Вектор атаки направлен на Server: Security: Encryption.

Уровень опасности по CVSS: 4.4

MySQL 5.6.34

Новый релиз содержит некоторые изменения и улучшения, касательные безопасности системы.

Системная переменная secure_file_priv, которая используется для ограничения операций импорта и экспорта данных, теперь может принимать значения NULL для отключения всех операций импорта/экспорта. Сервер проверяет значение secure_file_priv при запуске и записывает уведомление в журнал регистрации ошибок, если переменная небезопасна.

В предыдущих версиях значение системной переменной secure_file_priv было пустым по умолчанию. Теперь исходное значение задается согласно величине опции INSTALL_LAYOUT CMake.

С более подробной информацией вы можете ознакомиться в сопроводительной записке к апдейту.

Percona Server 5.7.15-9

Обновление содержит фиксы для  ряда багов, включая утечки, происходившие при ошибке создания подчиненного потока в многопоточной системе. Также устранены утечки памяти в Audit Log Plugin.

 
Комментарии