2019-2149: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software
Historie:
- Version 1 (2019-10-16 16:29)
- Neues Advisory
- Version 2 (2019-11-04 11:19)
- Für Fedora 29, 30 und 31 sowie Fedora 29, 30 und 31 Modular stehen Sicherheitsupdates in Form der Pakete 'community-mysql-8.0.18-1.fc29', 'community-mysql-8.0.18-1.fc30', 'community-mysql-8.0.18-1.fc31', 'mysql-8.0-2920191102174605.6c81f848', 'mysql-8.0-3020191102174605.a5b0195c' und 'mysql-8.0-3120191102174605.f636be4b' im Status 'testing' bereit, um die Schwachstellen zu beheben, die den MySQL Server des Versionszweigs 8.0 betreffen.
- Version 3 (2019-11-18 16:59)
- Canonical stellt für die Distribution Ubuntu 19.10 ein Sicherheitsupdate auf die MySQL Version 8.0.18 zur Verfügung. Für Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS stehen Sicherheitsupdates auf die MySQL Version 5.7.28 bereit.
Betroffene Software
Entwicklung
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In den Komponenten MySQL Server, MySQL Enterprise Monitor, MySQL Connectors und MySQL Workbench von Oracle MySQL bzw. den von diesen genutzten Softwarepaketen Tomcat, OpenSSL, cURL und SQLite existieren verschiedene Schwachstellen. Ein Großteil der jetzt veröffentlichten Schwachstellen kann von einem entfernten, einfach authentifizierten Angreifer ausgenutzt werden, um den MySQL Server zum Absturz zu bringen (Denial-of-Service, DoS) und Informationen auszuspähen. Zwei Schwachstellen in MySQL Server ermöglichen einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen und die vollständige Kompromittierung der Software. Mehrere weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, die Manipulation von Daten und die Durchführung von Denial-of-Service (DoS)-Angriffen. Eine Schwachstelle in MySQL Workbench (SQLite) ermöglicht einem solchen Angreifer die vollständige Kompromittierung der Software.
Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt zur Behebung Oracle MySQL Server in den Versionen 5.6.46, 5.7.28 und 8.0.18 als Sicherheitsupdates bereit. Für die Komponente MySQL Connector/ODBC stellt Oracle das Release 5.3.14 in Aussicht und das Release 8.0.18 zur Verfügung. Für die Komponente MySQL Workbench steht die Version 8.0.18 als Sicherheitsupdate bereit. Weiterhin informiert Oracle darüber, dass die Korrektur der Schwachstelle CVE-2019-1549 auch die Schwachstellen CVE-2019-1547, CVE-2019-1552 und CVE-2019-1563 behebt. Mit der Schwachstelle CVE-2019-5443 werden auch die Schwachstellen CVE-2019-5435 und CVE-2019-5436 und mit der Schwachstelle CVE-2019-8457 auch die Schwachstellen CVE-2019-9936 und CVE-2019-9937 adressiert. Diese werden in dieser Meldung ebenfalls aufgeführt.
Schwachstellen:
CVE-2019-10072
Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-AngriffCVE-2019-1543
Schwachstelle in OpenSSL ermöglicht das Ausspähen von Informationen und Manipulation von DatenCVE-2019-1547
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2019-1549
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-1552
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-1563
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2019-2910
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2019-2911
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2019-2914 CVE-2019-2946 CVE-2019-2966 CVE-2019-2967 CVE-2019-2974 CVE-2019-3004 CVE-2019-3011
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2019-2920
Schwachstelle in Oracle MySQL Connectors ermöglicht Denial-of-Service-AngriffCVE-2019-2922 CVE-2019-2923 CVE-2019-2924
Schwachstellen in Oracle MySQL Server ermöglichen Ausspähen von InformationenCVE-2019-2938 CVE-2019-3009 CVE-2019-3018
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2019-2948 CVE-2019-2950 CVE-2019-2957 CVE-2019-2960 CVE-2019-2982 CVE-2019-2997 CVE-2019-2998
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2019-2963 CVE-2019-2968 CVE-2019-3003
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2019-2969
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2019-2991
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-2993
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2019-5435
Schwachstelle in libcurl ermöglicht Denial-of-Service-AngriffCVE-2019-5436
Schwachstelle in libcurl ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-5443
Schwachstelle in cURL für Windows ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-8457
Schwachstelle in Berkeley DB / SQLite ermöglicht u. a. Ausspähen von InformationenCVE-2019-9936
Schwachstelle in SQLite ermöglicht Ausspähen von InformationenCVE-2019-9937
Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.