2018-2273: MariaDB: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-11-08 17:09): Neues Advisory
Version 2 (2018-11-16 10:38): Für Fedora 27 und 28 stehen Sicherheitsupdates für MariaDB im Status 'testing' bereit. Die Software wird damit auf Version 10.2.19 aktualisiert und die entsprechenden Schwachstellen werden behoben.
Version 3 (2018-11-20 14:08): Für Debian Stretch (stable) steht ein Sicherheitsupdate für 'mariadb-10.1' auf Version 10.1.37 bereit. Im zugehörigen Sicherheitshinweis werden über die hier referenzierten Schwachstellen hinaus zahlreiche weitere genannt, die mit den Softwareversionen seit MariaDB 10.1.27 (September 2017) behoben wurden.
Version 4 (2018-12-06 12:25): SUSE veröffentlicht für SUSE Linux Enterprise Server 12 LTSS ein Sicherheitsupdate auf die MariaDB Version 10.0.37, um die in dem Versionszweig enthaltenen Schwachstellen zu beheben. In der entsprechenden Sicherheitsmeldung listet SUSE auch die Schwachstellen CVE-2018-3058, CVE-2018-3063, CVE-2018-3064 und CVE-2018-3066 als behoben auf, die bereits mit dem MariaDB Release 10.0.36 adressiert wurden, für welches SUSE allerdings kein Server 12 LTSS Sicherheitsupdate bereitgestellt hat. Diese zusätzlichen Schwachstellen ermöglichen einem entfernten, authentifizierten Angreifer das Ausspähen und Manipulieren von Daten sowie das Bewirken eines Denial-of-Service-Zustandes.
Version 5 (2018-12-11 11:14): Für Fedora 29 steht ein Sicherheitsupdate auf die MariaDB Version 10.3.11 im Status 'testing' bereit, mit dem die hier aufgeführten Schwachstellen behoben werden.
Version 6 (2018-12-21 11:32): Für die SUSE Linux Enterprise Produkte Workstation Extension, Software Development Kit, Server und Desktop jeweils in der Version 12 SP4 stehen Sicherheitsupdates für MariaDB auf die Version 10.0.37 bereit. Zusätzlich zu den hier referenzierten und mit diesem Versionsupdate behobenen Schwachstellen, werden über die Sicherheitsupdates auch die Schwachstellen CVE-2018-3058, CVE-2018-3063, CVE-2018-3064 und CVE-2018-3066 adressiert, welche bereits in der MariaDB Version 10.0.36 behoben wurden.
Version 7 (2019-01-18 18:17): Für die SUSE Linux Enterprise Produkte Server 12 SP4 und Desktop 12 SP4 stehen Sicherheitsupdates für MariaDB auf die Version 10.2.19 bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in verschiedenen Versionen von MariaDB ermöglichen einem zumeist entfernten, einfach authentifizierten bzw. nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und die Manipulation bzw. das Ausspähen einiger Daten.

Der Hersteller hat die MariaDB Versionen 10.3.11, 10.2.19, 10.1.37, 10.0.37 und 5.5.62 veröffentlicht und reimplementiert bzw. portiert damit mehrere Features der MySQL 5.6 und 5.7 Versionen zurück in den aktuellen und in die früheren stabilen Versionszweige der MariaDB. Die Schwachstellen CVE-2018-3162, CVE-2018-3173, CVE-2018-3185, CVE-2018-3200, CVE-2018-3277 und CVE-2018-3284 werden ausschließlich für die MariaDB-Versionen 10.2.19 und 10.3.11 aufgeführt. Für die MariaDB-Version 5.5.62 werden nur die Schwachstellen CVE-2016-9843, CVE-2018-3174 und CVE-2018-3282 aufgeführt.

Für die Distribution Debian Jessie (LTS) steht ein Sicherheitsupdate auf die MariaDB Version 10.0.37 in Form des Paketes 'mariadb-10.0.37-0+deb8u1' zur Verfügung.