2017-0959: MariaDB: Mehrere Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe
Historie:
- Version 1 (2017-06-06 13:28)
- Neues Advisory
- Version 2 (2017-06-09 17:49)
- Für Fedora 24, 25 und 26 stehen aktualisierte Sicherheitsupdates in Form der Pakete 'mariadb-10.1.24-2.fc24', 'mariadb-10.1.24-2.fc25' und 'mariadb-10.1.24-2.fc2' bereit. Das Sicherheitsupdate für Fedora 26 ist im Status 'pending', während sich diejenigen für Fedora 24 und 25 bereits im Status 'testing' befinden. Diese ersetzen die zuvor veröffentlichten und nun im Status 'obsolete' befindlichen Sicherheitsupdates FEDORA-2017-d5e7e65f30, FEDORA-2017-ae00b2a30a und FEDORA-2017-93035f94d5, in denen 'jemalloc' nicht aktiviert wurde, wodurch MariaDB nicht mit TokuDB gestartet werden konnte. Die entsprechenden Referenzen wurden entfernt.
- Version 3 (2017-06-12 12:25)
- Die für Fedora 24, 25 und 26 aktualisierten Sicherheitsupdates der Versionen 10.1.24-2 wurden nun ebenfalls in den Status 'obsolete' versetzt und durch die im Status 'testing' befindlichen Pakete 'mariadb-10.1.24-3.fc24', mariadb-10.1.24-3.fc25' und 'mariadb-10.1.24-3.fc26' ersetzt. Den Grund für dieses erneute Update teilt Fedora nicht mit. Die Referenzen zu den obsoleten Versionen wurden entfernt.
- Version 4 (2017-08-03 18:45)
- Für die SUSE Linux Enterprise Produkte Workstation Extension 12 SP2 und 12 SP3, Software Development Kit 12 SP2 und 12 SP3, Server for SAP 12 und 12 SP1, Server for Raspberry Pi 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates auf die MariaDB Version 10.0.31 bereit. Mittels dieser Sicherheitsupdates werden fünf der hier aufgeführten Schwachstellen behoben, die Schwachstelle CVE-2017-3313 wird von SUSE nicht referenziert.
- Version 5 (2017-08-10 11:42)
- Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die MariaDB Version 10.0.31 bereit. Über die Sicherheitsupdates werden die hier aufgelisteten Schwachstellen, mit Ausnahme der CVE-2017-3313, adressiert und 'XtraDB' sowie 'TokuDB' werden auf Version 5.6.36-82.0 und 'Innodb' sowie 'Performance Schema' auf Version 5.6.36 aktualisiert.
Betroffene Software
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in MariaDB ermöglichen einem entfernten, einfach authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und die Manipulation von Dateien. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer das Ausspähen von Informationen.
Die referenzierten Schwachstellen wurden vom Hersteller für diesen Versionszweig in MariaDB 10.1.23 behoben.
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates auf die aktuelle Version MariaDB 10.1.24 im Status 'testing' bereit.
Schwachstellen:
CVE-2017-3308
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3309
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3313
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Ausspähen von InformationenCVE-2017-3453
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3456
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3464
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Manipulation von Daten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.