2019-0775: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die Übernahme des Systems

Historie:

Version 1 (2019-04-17 18:32)

Neues Advisory

Version 2 (2019-04-29 18:37)

Canonical stellt für die Distributionen Ubuntu 19.04, 18.10, 18.04 LTS und 16.04 LTS Sicherheitsupdates auf die MySQL Version 5.7.26 zur Verfügung.

Version 3 (2019-05-02 14:28)

Für Fedora 29 und 30 stehen Sicherheitsupdates für 'community-mysql' auf Version 8.0.16 im Status 'testing' bereit. Ein weiteres Sicherheitsupdate für Fedora 28 steht im Status 'pending' zur Verfügung. Hier ist die Zielversion MySQL 5.7.26.

Betroffene Software

Datensicherung
Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

In den Komponenten MySQL Server, MySQL Enterprise Backup und MySQL Connectors von Oracle MySQL existieren verschiedene Schwachstellen. Ein Großteil der jetzt veröffentlichten Schwachstellen können von einem entfernten, einfach authentifizierten Angreifer ausgenutzt werden, um den MySQL Server und MySQL Connectors zum Absturz zu bringen (Denial-of-Service, DoS). In einem Fall ist die Durchführung eines Denial-of-Service-Angriffs auch einem lokalen, nicht authentifizierten Angreifer möglich. Mehrere weitere Schwachstellen erlauben einem entfernten, nicht authentifizierten Angreifer Informationen auszuspähen, die Schwachstelle CVE-2018-0734 ist im Kontext der Komponente Enterprise Backup (OpenSSL) von MySQL Enterprise Backup nur lokal für das Ausspähen von Informationen ausnutzbar. Die Schwachstelle CVE-2019-2692 betrifft nur die Komponente MySQL Connector/J und ermöglicht einem lokalen, einfach authentifizierten Angreifer die Übernahme der Komponente.

Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt zur Behebung Oracle MySQL Server in den Versionen 5.6.44, 5.7.26 und 8.0.16 und jeweils höheren als Sicherheitsupdates in Aussicht. Für die Komponente MySQL Connector stellt Oracle die Releases 5.3.13 und 8.0.16 und höhere in Aussicht. Weiterhin informiert Oracle darüber, dass das Sicherheitsupdate für CVE-2018-0734 auch die Schwachstelle CVE-2018-5407 adressiert.

Schwachstellen:

CVE-2018-0734

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

CVE-2018-3123

Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von Informationen

CVE-2019-1559

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-2566

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2580 CVE-2019-2585 CVE-2019-2593 CVE-2019-2624

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

CVE-2019-2581

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2584 CVE-2019-2589 CVE-2019-2606 CVE-2019-2620

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

CVE-2019-2587

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2592

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2596 CVE-2019-2607 CVE-2019-2625 CVE-2019-2681

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

CVE-2019-2614

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2019-2617 CVE-2019-2630

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

CVE-2019-2623

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2626 CVE-2019-2644

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

CVE-2019-2627

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2019-2628

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2019-2631

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2632

Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von Informationen

CVE-2019-2634

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2635

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2636

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2683

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2685 CVE-2019-2686 CVE-2019-2687 CVE-2019-2688 CVE-2019-2689

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

CVE-2019-2691

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2019-2692

Schwachstelle in Oracle MySQL Connector/J ermöglicht Übernahme der Systemkomponente

CVE-2019-2693 CVE-2019-2694 CVE-2019-2695

Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.