2017-1243: Oracle MySQL: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung einer Komponente der Software
Historie:
- Version 1 (2017-07-19 18:14)
- Neues Advisory
- Version 2 (2017-07-21 12:25)
- Canonical aktualisiert MySQL für Ubuntu 17.04 und Ubuntu 16.04 LTS auf die Version 5.7.19 und stellt für Ubuntu 14.04 LTS das Sicherheitsupdate auf die MySQL Version 5.5.57 bereit. Mit den Sicherheitsupdates werden nach Herstellerangaben die Schwachstellen CVE-2017-3529, CVE-2017-3633 bis CVE-2017-3645 sowie CVE-2017-3647 bis CVE-2017-3653 adressiert.
- Version 3 (2017-07-26 10:44)
- Für Fedora 24, 25 und 26 steht 'community-mysql' in der Version 5.7.19 als Sicherheitsupdate im Status 'testing' bereit. Mit den Sicherheitsupdates werden die Schwachstellen CVE-2017-3633, CVE-2017-3634, CVE-2017-3635, CVE-2017-3641, CVE-2017-3647, CVE-2017-3648, CVE-2017-3649, CVE-2017-3651, CVE-2017-3652 und CVE-2017-3653 adressiert.
- Version 4 (2017-07-31 12:23)
- Debian stellt für die alte stabile Distribution Jessie (8.9) ein MySQL-Sicherheitsupdate auf die neue Upstream Version 5.5.57 bereit. Debian merkt an, dass dieses Sicherheitsupdate weitere Änderungen wie Performance Verbesserungen, Bugfixes und neue Features enthält, die Inkompatibilitäten zu vorhergehenden Versionen aufweisen können und verweist auf die Oracle Patch-Informationen für weitere Details. Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 wird der MySQL Community Server auf die Version 5.6.37 aktualisiert, um die in dem Versionszweig existierenden Schwachstellen zu adressieren.
Betroffene Software
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In den Komponenten MySQL Server, MySQL Enterprise Monitor, MySQL Connectors und MySQL Cluster von Oracle MySQL existieren verschiedene Schwachstellen, die von einem zumeist entfernten, auch nicht authentifizierten Angreifer ausgenutzt werden können, um den MySQL Server und MySQL Connectors zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu manipulieren, Informationen auszuspähen sowie die Anwendung MySQL Enterprise Monitor komplett zu übernehmen.
Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt Sicherheitsupdates zur Verfügung. Die aktuellen verfügbaren Versionen der einzelnen Komponenten sind MySQL Community Server 5.5.57, 5.6.37 und 5.7.19, MySQL Cluster 7.5.7, MySQL Connector/C 6.1.10, MySQL Connector/ODBC 5.3.8 sowie MySQL Enterprise Monitor 3.2.8, 3.3.4 und 3.4.2. Die einzelnen Schwachstellen betreffen unterschiedliche Versionszweige der betroffenen Komponenten. Zusätzlich zur Behebung der Schwachstelle CVE-2017-3635 wurde in diesem Zusammenhang die Dokumentation der Funktion 'mysql_stmt_close' aktualisiert.
Neben den Schwachstellen in der Software selbst werden auch mehrere Schwachstellen in den von Oracle MySQL verwendeten Produkten Apache Struts, Apache Tomcat und OpenSSL behoben.
Schwachstellen:
CVE-2014-1912
Schwachstelle in Python ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-4430
Schwachstelle in Apache Struts ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2016-4431
Schwachstelle in Apache Struts ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-4433
Schwachstelle in Apache Struts ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-4436
Schwachstelle in Apache Struts ermöglicht nicht spezifizierte AngriffeCVE-2016-4438
Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-4465
Schwachstelle in Apache Struts ermöglicht Denial-of-Service-AngriffCVE-2016-7055
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2017-3529 CVE-2017-3637
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2017-3633
Schwachstelle in Oracle MySQL ermöglicht u.a. einen Denial-of-Service-AngriffCVE-2017-3634
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2017-3635
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2017-3636
Schwachstelle in Oracle MySQL / MariaDB ermöglicht u.a. Denial-of-Service-AngriffCVE-2017-3638 CVE-2017-3639 CVE-2017-3640 CVE-2017-3641 CVE-2017-3642 CVE-2017-3643 CVE-2017-3644 CVE-2017-3645 CVE-2017-3646
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2017-3647 CVE-2017-3648 CVE-2017-3649
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2017-3650
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2017-3651
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Manipulieren von DatenCVE-2017-3652
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-3653
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Manipulieren von DatenCVE-2017-3731
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2017-3732
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-5647
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2017-5650
Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-AngriffCVE-2017-5651
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.