2019-0103: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Daten
Historie:
- Version 1 (2019-01-16 15:02)
- Neues Advisory
- Version 2 (2019-01-24 11:43)
- Cannonical veröffentlicht für die Distributionen Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates auf die MySQL Version 5.7.25.
- Version 3 (2019-01-31 10:37)
- Für Fedora 29 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem 'community-mysql' auf Version 8.0.14 aktualisiert wird.
- Version 4 (2019-02-05 17:08)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate bereit, mit dem 'mysql-community-server' auf Version 5.6.43 aktualisiert wird.
- Version 5 (2019-02-19 11:28)
- Mit MySQL Community Server 8.0.14 wurde eine Regression eingeführt, welche die Funktionalität 'Group Replication' betrifft. Die neue Version 8.0.15 adressiert dieses Problem. Im Sicherheitsupdate für Fedora 29 wurde das Paket 'community-mysql-8.0.14-1.fc29' durch das neue Paket 'community-mysql-8.0.15-1.fc29' ersetzt. Das Update befindet sich damit wieder im Status 'testing'. Für Fedora 28 steht ein Sicherheitsupdate für 'community-mysql' auf Version 5.7.25 im Status 'testing' bereit.
Betroffene Software
Entwicklung
Server
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In den Komponenten MySQL Server, MySQL Workbench und MySQL Connector/Python von Oracle MySQL existieren mehrere Schwachstellen, die von einem zumeist entfernten, einfach authentifizierten Angreifer ausgenutzt werden können, um den MySQL Server, MySQL Workbench und MySQL Connector/Python zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu manipulieren, Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen. Die Schwachstelle CVE-2019-2435 betrifft nur die Komponente MySQL Connectors und ermöglicht einem entfernten, einfach authentifizierten Angreifer die Manipulation von Daten. Die Schwachstellen CVE-2018-10933 und CVE-2018-0732 betreffen die Komponente MySQL Workbench und ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und die Durchführung eines Denial-of-Service (DoS)-Angriffs.
Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt zur Behebung Oracle MySQL Server in den Versionen 5.6.43, 5.7.25 und 8.0.14 als Sicherheitsupdates in Aussicht. Für die Komponenten MySQL Workbench und MySQL Connector/Python stellt Oracle jeweils das Release 8.0.14 in Aussicht.
Weiterhin informiert Oracle darüber, dass der Fix für CVE-2018-0732 auch die Schwachstelle CVE-2018-0737 und der Fix für CVE-2018-0734 auch die Schwachstelle CVE-2018-5407 adressiert.
Schwachstellen:
CVE-2018-0732
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2018-0734
Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten SchlüsselsCVE-2018-10933
Schwachstelle in libssh ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-2420 CVE-2019-2481 CVE-2019-2486 CVE-2019-2494 CVE-2019-2495 CVE-2019-2502 CVE-2019-2507
Schwachstellen in Oracle MySQL Server ermöglichen verschiedene Denial-of-Service-AngriffeCVE-2019-2434 CVE-2019-2455 CVE-2019-2482 CVE-2019-2529
Schwachstellen in Oracle MySQL Server ermöglichen verschiedene Denial-of-Service-AngriffeCVE-2019-2435
Schwachstelle in Oracle MySQL Connectors ermöglicht u. a. Manipulation von DatenCVE-2019-2436
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-2503
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-2510 CVE-2019-2528 CVE-2019-2530 CVE-2019-2531 CVE-2019-2532 CVE-2019-2537 CVE-2019-2539
Schwachstellen in Oracle MySQL Server ermöglichen verschiedene Denial-of-Service-AngriffeCVE-2019-2513
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2019-2533
Schwachstelle in Oracle MySQL Server ermöglicht Manipulation von DatenCVE-2019-2534
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Manipulation von DatenCVE-2019-2535
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2019-2536
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.