2018-1402: Oracle MySQL: Mehrere Schwachstellen ermöglichen u.a. die komplette Übernahme von MySQL Server
Historie:
- Version 1 (2018-07-18 16:39)
- Neues Advisory
- Version 2 (2018-07-31 11:31)
- Canonical stellt für die Distributionen Ubuntu 12.04 ESM und Ubuntu 14.04 LTS Sicherheitsupdates auf die MySQL Version 5.5.61 und für die Distributionen Ubuntu 16.04 LTS und Ubuntu 18.04 LTS auf MySQL 5.7.23 zur Behebung der in dem jeweiligen Versionszweig befindlichen Schwachstellen zur Verfügung.
- Version 3 (2018-08-10 14:12)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'mysql-community-server' auf Version 5.6.41 bereit, um die betreffenden 8 Schwachstellen zu beheben.
- Version 4 (2018-08-20 13:29)
- Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo jeweils in Version 11 SP4 stehen Sicherheitsupdates für das Paket 'mysql' auf Version 5.5.61 bereit, welche die 5 Schwachstellen CVE-2018-3058, CVE-2018-3063, CVE-2018-3066, CVE-2018-3070 und CVE-2018-3081 im Versionszweig 5.5.X beheben.
- Version 5 (2018-08-24 13:02)
- Für Fedora 27 und 28 stehen Sicherheitsupdates in Form aktualisierter 'mysql-community-server'-Pakete auf die Version 5.7.23 im Status 'testing' bereit, um die Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In den Komponenten MySQL Server, MySQL Enterprise Monitor, MySQL Workbench und MySQL Connectors existieren verschiedene Schwachstellen, die von einem zumeist entfernten, einfach authentisierten Angreifer ausgenutzt werden können, um den MySQL Server, MySQL Enterprise Monitor, MySQL Workbench bzw. MySQL Connector zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu manipulieren und Informationen auszuspähen. Die Schwachstelle CVE-2017-5645 betrifft die Komponente MySQL Enterprise Monitor und ermöglicht dem entfernten, nicht authentisierten Angreifer die komplette Übernahme der Komponente.
Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt zur Behebung Oracle MySQL Server in den Versionen 5.5.61, 5.6.41, 5.7.23 und 8.0.12 als Sicherheitsupdates in Aussicht. Für die Komponente MySQL Connector stellt Oracle die Releases 5.3.11 und 8.0.12 in Aussicht.
Die Schwachstelle CVE-2018-0739 betrifft alle MySQL Komponenten (Server, Enterprise Monitor, Workbench und Connectors). Der Fix für diese Schwachstelle adressiert zusätzlich die Schwachstellen CVE-2017-3737 und CVE-2017-3738, deren Auswirkungen in Bezug auf Oracle MySQL Komponenten nicht näher spezifiziert werden.
Die Schwachstelle CVE-2017-5645 betrifft nur die Komponente MySQL Enterprise Monitor. Derzeit steht noch kein offizielles Release für die Komponente zur Behebung der Schwachstellen bereit.
Die Schwachstellen CVE-2017-0379 und CVE-2018-2598 betreffen nur die Komponente MySQL Workbench. Für den Versionszweig 8.0.X steht ein Sicherheitsupdate auf Version 8.0.12 bereit und behebt die Schwachstelle CVE-2017-0379. Dieses Release behebt zusätzlich die Schwachstelle CVE-2017-9526 deren Auswirkung in Bezug auf die Komponente nicht näher spezifiziert wird. Für den Versionszweig 6.3.X steht bislang kein Release zur Behebung der Schwachstelle CVE-2018-2598 zur Verfügung.
Schwachstellen:
CVE-2017-0379
Schwachstelle in Libgcrypt ermöglicht Ausspähen von InformationenCVE-2017-3737
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-3738
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-5645
Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-9526
Schwachstelle in libgcrypt ermöglicht Ausspähen von InformationenCVE-2018-0739
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2018-2598
Schwachstelle in Oracle MySQL Workbench ermöglicht Ausspähen von InformationenCVE-2018-2767
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-3054 CVE-2018-3061 CVE-2018-3063 CVE-2018-3067 CVE-2018-3071 CVE-2018-3075 CVE-2018-3077 CVE-2018-3078
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2018-3056
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2018-3058
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Manipulation von DatenCVE-2018-3060
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht u. a. Manipulation von DatenCVE-2018-3062 CVE-2018-3074
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2018-3064
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht u.a. Denial-of-Service-AngriffCVE-2018-3065 CVE-2018-3070 CVE-2018-3073
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2018-3066
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht u.a. Ausspähen von InformationenCVE-2018-3079 CVE-2018-3080
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2018-3081
Schwachstelle in Oracle MySQL Client ermöglicht u.a. Denial-of-Service-AngriffCVE-2018-3082
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2018-3084
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.