2016-0104: Oracle MySQL: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Administratorrechten
Historie:
- Version 1 (2016-01-20 15:47)
- Neues Advisory
- Version 2 (2016-01-26 18:07)
- Update: Canonical stellt für die Distributionen Ubuntu 15.10, Ubuntu 15.04, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates auf die Versionen MySQL 5.5.47, bzw. 5.6.28 bereit, die die schwerwiegendsten Schwachstellen beheben. Die Schwachstellen des Versionszweigs 5.7 werden mit diesen Sicherheitsupdates nicht adressiert.
- Version 3 (2016-01-29 12:27)
- Für die Distributionen Debian Linux Wheezy (oldstable) und Jessie (stable) stehen Sicherheitsupdates auf die Version MySQL 5.5.47 zur Verfügung, die die schwerwiegendsten Schwachstellen beheben. Die Schwachstellen des Versionszweigs 5.7 werden mit diesen Sicherheitsupdates nicht adressiert.
- Version 4 (2016-02-08 11:00)
- SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP3 und SP4, Server 11 SP3 und SP4, Server für VMWare 11 SP3 sowie Desktop 11 SP3 und SP4 Sicherheitsupdates auf die MySQL Version 5.5.47. Für die Distributionen openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates auf die Version 5.6.28 bereit.
- Version 5 (2016-02-08 16:24)
- Für die Distribution openSUSE 13.1 stehen Sicherheitsupdates auf die MySQL Version 5.6.28 zur Verfügung.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In mehreren Subkomponenten der Komponente MySQL Server von Oracle MySQL sind verschiedene Schwachstellen vorhanden, die zumeist von einem entfernten, an der Datenbank angemeldeten Angreifer ausgenutzt werden können, um den MySQL Server zum Absturz zu bringen oder nicht mehr reagieren zu lassen, d.h. einen Denial-of-Service (DoS)-Angriff durchzuführen. Eine weitere Schwachstelle erlaubt dem Angreifer Sicherheitsvorkehrungen zu umgehen, eine andere einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen. Die schwerwiegendste Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer das System komplett zu übernehmen und beliebigen Programmcode mit Administratorrechten auszuführen.
Der Hersteller Oracle hat diese Schwachstellen am regulären Oktober Patchday veröffentlicht und stellt Sicherheitsupdates zur Verfügung.
Schwachstellen:
CVE-2015-7744
Schwachstelle im MySQL Server erlaubt Ausspähen von InformationenCVE-2016-0502 CVE-2016-0597 CVE-2016-0611 CVE-2016-0616
Schwachstellen im MySQL Server erlauben Denial-of-Service-AngriffeCVE-2016-0503 CVE-2016-0594 CVE-2016-0595 CVE-2016-0596
Schwachstellen im MySQL Server erlauben Denial-of-Service-AngriffeCVE-2016-0504
Schwachstelle im MySQL Server erlaubt Denial-of-Service-AngriffCVE-2016-0505
Schwachstelle im MySQL Server / Maria DB erlaubt Denial-of-Service-AngriffCVE-2016-0546
Schwachstelle im MySQL Server / MariaDB erlaubt Erlangen von AdministratorrechtenCVE-2016-0598
Schwachstelle im MySQL Server / MariaDB erlaubt Denial-of-Service-AngriffCVE-2016-0599
Schwachstelle im MySQL Server erlaubt Denial-of-Service-AngriffCVE-2016-0600 CVE-2016-0610
Schwachstellen im MySQL Server erlauben Denial-of-Service-AngriffeCVE-2016-0601
Schwachstelle im MySQL Server erlaubt Denial-of-Service-AngriffCVE-2016-0605
Schwachstelle im MySQL Server erlaubt Denial-of-Service-AngriffCVE-2016-0606
Schwachstelle im MySQL Server / MariaDB erlaubt Manipulation von DatenCVE-2016-0607
Schwachstelle im MySQL Server erlaubt Denial-of-Service-AngriffCVE-2016-0608
Schwachstelle im MySQL Server / MariaDB erlaubt Denial-of-Service-AngriffCVE-2016-0609
Schwachstelle im MySQL Server / MariaDB erlaubt Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.