Спасибо, что выбрали наш продукт!
На указанный Вами E-mail отправлено письмо с кодом активации программы. Если у вас возникнут проблемы с браузером, воспользуйтесь ссылкой на скачивание, продублированной в письме.
К письму также приложена необходимая документация для вашей версии продукта.
На фоне массивных утечек данных в предыдущих месяцах, октябрь выдался относительно спокойным.
Guccifer 2.0 заявил о взломе системы благотворительного фонда Clinton Foundation и выложил предположительно достоверные документы. На своем сайте хакер написал, что взлом был лишь вопросом времени, поскольку в штабе фонда Клинтона не придают большого значения информационной безопасности.
В организации Modern Business Systems произошла утечка данных. Скомпрометированы аккаунты 58 миллионов пользователей, включая имена, почтовые и IP-адреса, номера телефонов. Компания-разработчик игр Evony Gaming также стала жертвой взлома. Похищены данные 33 млн. пользователей с паролями и email-адресами.
Новые бреши в MySQL
В MySQL и ее производных PerconaDB, MariaDB обнаружены две серьезные уязвимости, позволяющие повысить привилегии пользователя. Разработчики уже выпустили обновления, устраняющие проблему.
CVE-2016-6663 и CVE-2016-6664 (в документации Oracle обозначены как CVE-2016-5616 и CVE-2016-5617 соответственно). CVE-2016-6663 упрощает эксплуатацию упомянутой в предыдущем дайджесте CVE-2016-6662. Ошибка позволяет пользователю с низким уровнем привилегий повысить его и выполнить произвольный код. Злоумышленник сможет эксплуатировать уязвимость, если ему удастся найти брешь в коде сайте и получить доступ к системе в качестве пользователя с низким уровнем привилегий. Также может быть использована в виртуальном хостинге, где у каждого пользователя есть доступ только к определенной базе данных.
CVE-2016-6663 может быть использован совместно с CVE-2016-6662 или CVE-2016-6664, что позволяет получить полномочия root-пользователя и скомпрометировать всю систему. Эксплоит выставлен в свободном доступе в интернете, появилось даже видео с подробными инструкциями, поэтому пользователям подверженных версий СУБД не следует медлить с обновлением.
Подвержены данным уязвимости Oracle MySQL версий до 5.5.51, 5.6.32, 5.7.14. Октябрьский Critical Patch Update решает обе проблемы. Percona также объявила об устранении уязвимостей в новой версии Percona Server. MariaDB пропатчила CVE-2016-6663, оставив без внимания CVE-2016-6664 до релиза следующей отладочной версии, аргументировав свое решение невозможностью ее эксплуатации без CVE-2016-6663.
Фиксы от Oracle
Oracle провозгласил релиз нового Critical PatchUpdate, который устраняет 253 уязвимости на различных платформах. Для Oracle Database Server патч содержит 12 исправлений брешей в безопасности, одна из которых может быть использована удаленно без требования данных пользователя.
Oracle MySQL
Для Oracle MySQL устранена 31 уязвимость, 2 из которых могут быть использованы удаленно без аутентификации.
Greenplum Database 4.3.10.0
Новая версия вводит новые функции, разрешает известные проблемы и содержит улучшения в работе СУБД.
Добавление символов \, ‘, <,> во внешние таблицы с протоколом gphdfs представляло собой потенциальную уязвимость. Проблема была разрешена.
MariaDB 10.0.28
Новая версия содержит обновления для XtraDB, TokuDB, Innodb, Performance Schema и устраняет ряд уязвимостей:
CVE-2016-5616 (CVE-2016-6663 у Oracle) позволяет локальному пользователю воздействовать на конфиденциальность, целостность и доступность данных путем атаки на подкомпонент СУБД Server: MyISAM.
Уровень опасности по CVSS: 7.0
CVE-2016-5624 позволяет удаленному пользователю изменить настройки доступности данных. Вектор атаки связан с DML.
Уровень опасности по CVSS: 6.5
CVE-2016-5626 позволяет аутентифицированному пользователю изменить настройки доступности данных. Вектор атаки связан с GIS.
Уровень опасности по CVSS: 6.5
CVE-2016-3492 позволяет локальному пользователю изменить настройки доступности данных путем атаки на подкомпонент СУБД Server: Optimizer.
Уровень опасности по CVSS: 6.5
CVE-2016-5629 позволяет администратору удаленно изменить настройки доступности данных, воздействуя на подкомпонент Server: Federated.
Уровень опасности по CVSS: 4.9
CVE-2016-8283 позволяет аутентифицированному пользователю изменить настройки доступности данных, воздействуя на подкомпонент Server: Types.
Уровень опасности по CVSS: 4.3
CVE-2016-7440 – информации о данной уязвимости пока нет в свободном доступе.
CVE-2016-5584 позволяет администратору удаленно воздействовать на конфиденциальность данных. Вектор атаки направлен на Server: Security: Encryption.
Уровень опасности по CVSS: 4.4
MySQL 5.6.34
Новый релиз содержит некоторые изменения и улучшения, касательные безопасности системы.
Системная переменная secure_file_priv, которая используется для ограничения операций импорта и экспорта данных, теперь может принимать значения NULL для отключения всех операций импорта/экспорта. Сервер проверяет значение secure_file_priv при запуске и записывает уведомление в журнал регистрации ошибок, если переменная небезопасна.
В предыдущих версиях значение системной переменной secure_file_priv было пустым по умолчанию. Теперь исходное значение задается согласно величине опции INSTALL_LAYOUT CMake.
С более подробной информацией вы можете ознакомиться в сопроводительной записке к апдейту.
Percona Server 5.7.15-9
Обновление содержит фиксы для ряда багов, включая утечки, происходившие при ошибке создания подчиненного потока в многопоточной системе. Также устранены утечки памяти в Audit Log Plugin.