2017-1827: Oracle MySQL, MySQL Community Server: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung einer Komponente der Software
Historie:
- Version 1 (2017-10-18 17:09)
- Neues Advisory
- Version 2 (2017-10-20 12:08)
- Debian stellt für die vormalige stabile Distribution Jessie ein Sicherheitsupdate für MySQL auf Version 5.5.58 bereit, mit dem die entsprechenden Schwachstellen behoben werden.
- Version 3 (2017-10-23 19:30)
- Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04 und Ubuntu 16.04 LTS Sicherheitsupdates für 'mysql-5.7' auf MySQL 5.7.20 und für Ubuntu 14.04 LTS ein Sicherheitsupdate für 'mysql-5.5' auf MySQL 5.5.58 bereit.
- Version 4 (2017-10-30 15:29)
- Für Fedora 25, 26 und 27 stehen Sicherheitsupdates auf die MySQL Community Server Version 5.7.20 zur Verfügung. Die Sicherheitsupdates für Fedora 25 und 26 besitzen den Status 'testing', während sich das Sicherheitsupdate für Fedora 27 noch im Status 'pending' befindet. Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die MySQL Community Server Version 5.6.38 bereit.
- Version 5 (2017-10-30 18:02)
- Canonical veröffentlicht für Ubuntu 12.04 LTS ein Sicherheitsupdate für MySQL auf die Version 5.5.58, um die dafür relevanten Schwachstellen zu adressieren.
- Version 6 (2017-11-13 11:02)
- Für die SUSE Linux Enterprise Produkte Server 11 SP3 LTSS und 11 SP4, Software Development Kit 11 SP4 sowie für SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 stehen Sicherheitsupdates für MySQL auf die Version 5.5.58 bereit, mit denen die dort relevanten Schwachstellen adressiert werden.
Betroffene Software
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In den Komponenten MySQL Server, MySQL Enterprise Monitor und MySQL Connectors von Oracle MySQL existieren verschiedene Schwachstellen, die von einem zumeist entfernten, auch nicht authentifizierten Angreifer ausgenutzt werden können, um den MySQL Server und MySQL Connectors zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu manipulieren, Informationen auszuspähen sowie die Anwendung MySQL Enterprise Monitor komplett zu übernehmen. Sechs dieser mit dem Oracle Critical Patch Update behobenen Schwachstellen können aus der Ferne (über eine Netzwerkverbindung) und ohne Authentisierung ausgenutzt werden.
Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt Sicherheitsupdates zur Verfügung. Der MySQL Community Server steht in den Versionen 5.5.58, 5.6.38 und 5.7.20 bereit. Die aktuellen Versionen von MySQL Enterprise Monitor sind 3.2.10, 3.3.6, 3.4.4 und 4.0.0. MySQL Connector/Net 6.9.10 ist noch nicht erschienen.
Neben den Schwachstellen in der Software selbst werden auch mehrere Schwachstellen in den verwendeten Produkten Apache Tomcat (MySQL Enterprise Monitor) und OpenSSL (MySQL Server) behoben, welche einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen bzw. das Ausspähen von Informationen oder Denial-of-Service-Angriffe ermöglichen.
Schwachstellen:
CVE-2016-7055
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2017-10155
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2017-10165 CVE-2017-10311 CVE-2017-10313 CVE-2017-10320
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2017-10167
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2017-10203
Schwachstelle in Oracle MySQL Connectors ermöglicht Denial-of-Service-AngriffCVE-2017-10227 CVE-2017-10294 CVE-2017-10314
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2017-10268
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Ausspähen von InformationenCVE-2017-10276
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2017-10277
Schwachstelle in Oracle MySQL Connectors ermöglicht Ausspähen und Manipulation von DatenCVE-2017-10279
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2017-10283
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2017-10284 CVE-2017-10296
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2017-10286
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-10365
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Manipulation von Daten und Denial-of-Service-AngriffCVE-2017-10378
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-10379
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Ausspähen von InformationenCVE-2017-10384
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-10424
Schwachstelle in Oracle MySQL Enterprise Monitor ermöglicht komplette Übernahme der SoftwareCVE-2017-3731
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2017-3732
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-5664
Schwachstelle in Apache Tomcat ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.