2018-2110: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die Übernahme des Systems
Historie:
- Version 1 (2018-10-17 19:39)
- Neues Advisory
- Version 2 (2018-10-24 12:53)
- Canonical veröffentlicht für die Distribution Ubuntu 14.04 LTS ein Sicherheitsupdate auf die MySQL Version 5.5.62 und stellt für Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates auf die Version MySQL 5.7.24 zur Verfügung. Canonical weist darauf hin, dass mit dem Sicherheitsupdate weitere Funktionsänderungen einhergehen, die möglicherweise mit aktuellen Nutzungsszenarien inkompatibel sind.
- Version 3 (2018-10-26 12:21)
- openSUSE stellt für openSUSE Leap 42.3 ein Sicherheitsupdate auf die MySQL Community Server Version 5.6.42 zur Verfügung.
- Version 4 (2018-10-29 16:13)
- Für Ubuntu 12.04 ESM steht ein Sicherheitsupdate für 'mysql-5.5' auf Version 5.5.62 bereit. Für SUSE Linux Enterprise Software Development Kit, Server und Debuginfo 11 SP4 sowie Server 11 SP3 LTSS und Debuginfo 11 SP3 stehen ebenfalls Sicherheitsupdates für 'mysql' auf Version 5.5.62 bereit.
- Version 5 (2018-11-01 13:29)
- Für Fedora 29 steht ein Sicherheitsupdate in Form des Paketes 'community-mysql-8.0.13-1.fc29' im Status 'testing' bereit.
- Version 6 (2018-11-06 10:59)
- Debian veröffentlicht für Jessie (LTS) ein Sicherheitsupdate auf die MySQL Version 5.5.62. Mit diesem Sicherheitsupdate werden drei der hier referenzierten Schwachstellen und mehrere bereits mit der vorhergehenden Version behobenen Schwachstellen adressiert. Für die vorhergehende MySQL Version wurde für Debian LTS kein Patch bereitgestellt.
- Version 7 (2018-11-16 10:25)
- Für Fedora 27 und 28 stehen Sicherheitsupdates für 'community-mysql' im Status 'testing' bereit. Die Software wird damit auf Version 5.7.24 aktualisiert und die entsprechenden Schwachstellen werden behoben.
- Version 8 (2018-11-27 12:10)
- Für Red Hat Software Collections steht ein Sicherheitsupdate für 'rh-mysql57-mysql' bereit, mit dem die Software auf Version 5.7.24 aktualisiert wird und die entsprechenden Schwachstellen behoben werden. Das Update steht unter anderem für Red Hat Enterprise Linux (RHEL) Server 6, 6.7, 7, 7.3, 7.4, 7.5 und 7.6, für RHEL Server for ARM sowie für RHEL Workstation 6 und 7 zur Verfügung.
Betroffene Software
Entwicklung
Middleware
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In den Komponenten MySQL Server, MySQL Enterprise Monitor und MySQL Connectors von Oracle MySQL existieren verschiedene Schwachstellen, die von einem zumeist entfernten, einfach authentifizierten Angreifer ausgenutzt werden können, um den MySQL Server, MySQL Connectors und MySQL Enterprise Monitor zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu manipulieren, Informationen auszuspähen sowie die Anwendung MySQL Server komplett zu übernehmen. Die Schwachstelle CVE-2018-3258 betrifft nur die Komponente MySQL Connectors und ermöglicht einem entfernten, einfach authentifizierten Angreifer die Übernahme der Komponente. Die Schwachstellen CVE-2018-11776, CVE-2018-8014 und CVE-2018-1258 betreffen die Komponente MySQL Enterprise Monitor und ermöglichen einem entfernten, nicht authentifizierten Angreifer ebenfalls die Übernahme der Komponente.
Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt zur Behebung Oracle MySQL Server in den Versionen 5.5.62, 5.6.42, 5.7.24 und 8.0.13 als Sicherheitsupdates in Aussicht. Für die Komponente MySQL Connector stellt Oracle das Release 8.0.13 in Aussicht.
Weiterhin informiert Oracle darüber, dass das Sicherheitsupdate für CVE-2016-9840 auch die Schwachstellen CVE-2016-9840, CVE-2016-9841 und CVE-2016-9842, das Sicherheitsupdate für CVE-2018-11039 auch die Schwachstellen CVE-2018-11039, CVE-2018-11040 und CVE-2018-1257 und das Sicherheitsupdate für CVE-2018-1304 auch die Schwachstellen CVE-2018-1305, CVE-2018-8034 und CVE-2018-8037 adressieren.
Schwachstellen:
CVE-2016-9843
Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-11776
Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-1258
Schwachstelle in Oracle Endeca Information Discovery Integrator / Oracle MySQL Server / Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2018-3143 CVE-2018-3156 CVE-2018-3251
Schwachstellen in Oracle MySQL Server / MariaDB ermöglichen Denial-of-Service-AngriffeCVE-2018-3144
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2018-3155
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2018-3161 CVE-2018-3162 CVE-2018-3170 CVE-2018-3173 CVE-2018-3186 CVE-2018-3200 CVE-2018-3212
Schwachstellen in Oracle MySQL Server ermöglichen verschiedene Denial-of-Service-AngriffeCVE-2018-3171
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-3174
Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2018-3182 CVE-2018-3137 CVE-2018-3203 CVE-2018-3133 CVE-2018-3145
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2018-3185 CVE-2018-3187 CVE-2018-3195 CVE-2018-3247
Schwachstellen in Oracle MySQL Server ermöglichen u. a. Denial-of-Service-AngriffeCVE-2018-3258
Schwachstelle in Oracle MySQL Connectors ermöglicht Übernahme der SystemkomponenteCVE-2018-3276 CVE-2018-3277 CVE-2018-3278 CVE-2018-3279 CVE-2018-3280 CVE-2018-3282 CVE-2018-3285
Schwachstellen in Oracle MySQL Server ermöglichen verschiedene Denial-of-Service-AngriffeCVE-2018-3283 CVE-2018-3284
Schwachstellen in Oracle MySQL Server ermöglichen verschiedene Denial-of-Service-AngriffeCVE-2018-3286
Schwachstelle in Oracle MySQL Server ermöglicht Manipulieren von DatenCVE-2018-8014
Schwachstelle in Apache Tomcat ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.