Новости уязвимостей и информационной безопасности - август 2016

Август задался довольно жарким для работников сферы информационной безопасности. Две масштабные конференции Black Hat и DefCon прошли в Лас-Вегасе, раскрывая миру ключевые тенденции кибератак и уязвимости нулевого дня. Хакеры и гуру кибербезопасности обсудили намечающиеся угрозы, уделяя особое внимание защите мобильных приложений, интернет-протоколов, взлому устройств, управляемых через интернет (IoT), и даже специально-оснащенным летающим дронам, позволяющим хакерам осуществлять атаки дистанционно. Брифинги презентаций можно найти на официальных сайтах Black Hat и DefCon, а пока рассмотрим последние новости, касающиеся безопасности баз данных.

Серьезные уязвимости в MySQL

Одной из главных тем обсуждения стали недавно опубликованные сведения о множественных уязвимостях в MySQL и производных продуктах, таких как MariaDB и Percona Server. Самая критическая из них (CVE-2016-6662) позволяет осуществлять локальную или удаленную атаку на сервер MySQL и повысить свои привилегии до root-пользователя. Для ее эксплуатации требуется выполнить аутентифицированный доступ к БД или провести дополнительную атаку на web-приложения, чтобы получить возможность внедрения SQL-кода. Данная уязвимость проявляется во всех ветках MySQL и представляет серьезную угрозу безопасности, поэтому разработчики настоятельно рекомендуют пользователям обновиться до последних версий. Проблема устранена в версиях MySQL 5.7.15, 5.6.33 и 5.5.52, MariaDB 10.0.27,10.1.17 и Percona Server 5.7.14-7.

Кроме устранения критической уязвимости CVE-2016-6662, обновление MySQL 5.7.15 содержит фиксы на некоторые известные баги и предусматривает несколько новых функций. Добавлена функция динамической настройки конфигурации, которую можно использовать для отключения функции обнаружения взаимоблокировки. В новой версии есть опция для управления выборов библиотеки LZ4. Служебный скрипт systemd для юнит-файла (mysqld_pre_systemd) теперь участвует в создании журнала регистрации ошибок только тогда, когда его расположение совпадает с адресом /var/log/mysql*.log.  Измененный скрипт не допускает создания небезопасных временных файлов.

Также в новом MySQL есть плагин validate_password, который поддерживает функцию отклонения паролей, совпадающих с паролем находящегося в сети пользователя. Для осуществления своей функции плагин использует системную переменную avalidate_password_check_user_name.

Oracle

Следующий Critical Patch Update от Oracle выйдет только во второй половине октября, поэтому большинство уязвимостей остаются нераскрытыми для широкой аудитории. Вот одна из опубликованных в прошлом месяце уязвимостей Oracle Database:

CVE-2016-6298

Класс _RSA 15 при реализации алгоритма RSA 1.5 в jwa.py в версиях jwcrypto ранее 0.3.2 нуждается в механизме защиты Random Filling, без которого удаленный взломщик может получить незашифрованные данные посредством атаки на основе подобранного шифротекста.
В прошлом месяце вышли обновления следующих СУБД: MySQL, MariaDB, PostgreSQL, Greenplum Database. Обновления для MySQL и PostgreSQL содержат некоторые фиксы, касающиеся безопасности.
Security Update от PostgreSQL
Релиз PostgreSQL 9.5.4 закрывает некоторые бреши в безопасности и исправляет известные баги, обнаруженные за прошлые несколько месяцев. Устраненные
уязвимости включают:

CVE-2016-5423

Возможные ошибки при обработке определенных SQL-операторов CASE/WHEN. Злоумышленник, совершив аутентифицированный доступ, может использовать специальный оператор SQL для осуществления сбоя системы, раскрытия некоторой части памяти на сервере или получения возможности внедрять произвольный код.

CVE-2016-5424

Определенные символы в именах баз данных и объектов БД могут позволить осуществить инъекцию кода во время административных операций, таких как pg_dumpall. Множество адресов в vacuumdb и других клиентских программах могут быть спутаны с именами баз данных и объектов БД, содержащих обратный слеш или двойные кавычки. Необходимо ввести больше ограничений на использование кавычек, также необходимо убедиться в том, что строка conninfo использована для параметра имени базы данных для этих программ. Измененные специальным образом имена, содержащие определенные символы, могут быть использованы для выполнения команд с правами привилегированного пользователя сразу, как привилегированный пользователь выполнит операцию pg_dumpall или другую стандартную операцию по обслуживанию БД.

В релизе исправлен метод обработки двойных кавычек в командах psql’s connect  и  password  для соответствия с документацией. Новая опция -reuse-previous в команде psql’s connect, которая осуществляет тщательный контроль за повторным использованием параметров соединения.  Без данной опции механизм выбора основан лишь на том, схоже ли имя базы данных со строкой conninfo.

MariaDB 10.1.17

Помимо исправления вышеупомянутой уязвимости CVE-2016-6662, изменения в MariaDB 10.1.17 коснулись кластера Galera, в котором обновили библиотеку, увеличили исходный размер  wseo_max_ws_size с 1GB до 2GB, и теперь кластер поддерживает использование системной переменной wsrep_max_ws_rows. В обновлении были исправлены несколько багов, движок CONNECT теперь поддерживает тип JBDS Table; также были обновлены XtraDB, TokuDB, InnoDB и Performance Schema.
Greenplum Database 4.3.9.0

Обновленная эксплуатационная версия Greenplum database содержит некоторые обновления и улучшения. Основной целью релиза является исправление следующих багов:

Bug 1238749 – Перенос изменений класса rhashtable из предыдущих версий
Bug 1316093 – Отсутствие puppet-логов в /var/log/remote (Перенос da314c9923fe и 1f770c0a09 в RHEL-7)

Другие исправления касаются оптимизации запросов, диспетчеризации языков R и PL/R, скриптов Backup и Restore, управления ресурсами, внешних таблиц S3 и процесса исполнения запросов.