2018-0101: Oracle MySQL, MySQL Community Server: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

Historie:

Version 1 (2018-01-17 17:26)

Neues Advisory

Version 2 (2018-01-19 10:55)

Für Debian Jessie (oldstable) steht ein Sicherheitsupdate für MySQL auf Version 5.5.59 zur Verfügung, mit dem die Schwachstellen CVE-2018-2562, CVE-2018-2622, CVE-2018-2640, CVE-2018-2665 und CVE-2018-2668 behoben werden.

Version 3 (2018-01-23 11:43)

Canonical stellt für die Distribution Ubuntu 14.04 LTS ein Sicherheitsupdate für das Paket 'mysql-5.5' auf MySQL 5.5.59 und für Ubuntu 16.04 LTS und Ubuntu 17.10 für das Paket 'mysql-5.7' auf MySQL 5.7.21 zur Behebung der entsprechenden Schwachstellen bereit. Für Fedora 27 steht ebenfalls ein Sicherheitsupdate auf MySQL 5.7.21 in Form des Paketes 'community-mysql-5.7.21-1.fc27' bereit, welches sich derzeit noch im Status 'pending' befindet.

Version 4 (2018-01-25 16:44)

Canonical stellt für die Distribution Ubuntu 12.04 LTS das korrespondierende Sicherheitsupdate für das Paket 'mysql-5.5' auf MySQL 5.5.59 zur Behebung der betreffenden Schwachstellen bereit.

Version 5 (2018-01-26 10:48)

Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die MySQL Community Server Version 5.6.39 zur Verfügung, mit denen 15 der aufgeführten Schwachstellen behoben werden.

Version 6 (2018-02-28 19:47)

Für Fedora 26 steht ein Sicherheitsupdate auf die MySQL Community Server Version 5.7.21 bereit, um die in der Version 5.7.20 existierenden Schwachstellen zu adressieren.

Version 7 (2018-03-26 17:31)

Red Hat veröffentlicht für die Red Hat Software Collections 1 für RHEL 7.4, 7.3, 7, 6.7 und 6 Sicherheitsupdates auf die MySQL Version 5.7.21 und 5.6.39, um die in den jeweiligen Versionszweigen enthaltenen Schwachstellen zu adressieren.

Betroffene Software

Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

In den Komponenten MySQL Server und MySQL Connectors (Connector/Net) von Oracle MySQL existieren verschiedene Schwachstellen, die von einem entfernten, auch nicht authentifizierten Angreifer ausgenutzt werden können, um den MySQL Server und MySQL Connectors zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu manipulieren und Informationen auszuspähen. Zwei dieser Schwachstellen können aus der Ferne (über eine Netzwerkverbindung) und ohne Authentisierung ausgenutzt werden.

Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt Sicherheitsupdates zur Verfügung. Der MySQL Community Server steht in den Versionen 5.5.59, 5.6.39 und 5.7.21 bereit. Die aktuellen Versionen von MySQL Connector/Net sind 6.9.10 und 6.10.5.

Neben den Schwachstellen in der Software selbst werden auch mehrere Schwachstellen in den verwendeten Produkten Apache Tomcat (eingesetzt in MySQL Enterprise Monitor) und OpenSSL (MySQL Server, MySQL Enterprise Monitor und Connector/ODBC) behoben, die einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und das Umgehen von Sicherheitsvorkehrungen bzw. das Ausspähen von Informationen ermöglichen. Connector/ODBC ist in der aktuellen Version 5.3.9 von zwei der Schwachstellen in OpenSSL betroffen. MySQL Enterprise Monitor ist in den Versionen bis einschließlich 3.3.6.3293, 3.4.4.4226 und 4.0.0.5135 von den Schwachstellen betroffen. Die aktuellen Versionen von MySQL Enterprise Monitor sind 3.3.7, 3.4.5 und 4.0.2.

Schwachstellen:

CVE-2017-12617

Schwachstelle in Apache Tomcat ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-3735

Schwachstelle in OpenSSL ermöglicht Darstellung falscher Informationen

CVE-2017-3736

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-3737

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-3738

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2018-2562

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht u.a. Denial-of-Service-Angriff

CVE-2018-2565 CVE-2018-2576 CVE-2018-2586 CVE-2018-2600 CVE-2018-2646 CVE-2018-2667

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriff

CVE-2018-2573 CVE-2018-2703

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriff

CVE-2018-2583

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2018-2585

Schwachstelle in Oracle MySQL Connectors ermöglicht Denial-of-Service-Angriff

CVE-2018-2590

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2018-2591

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2018-2612

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff und Manipulation von Daten

CVE-2018-2622 CVE-2018-2640 CVE-2018-2665 CVE-2018-2668

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

CVE-2018-2645

Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von Informationen

CVE-2018-2647

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff und Manipulation von Daten

CVE-2018-2696

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.