2020-0096: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2020-01-15 16:25): Neues Advisory
Version 2 (2020-01-17 11:56): Für Fedora 30 und 31 sowie Fedora 30 und 31 Modular stehen Sicherheitsupdates in Form der Pakete 'community-mysql-8.0.19-1.fc30', 'community-mysql-8.0.19-1.fc31', 'mysql-8.0-3020200116003453.a5b0195c' und 'mysql-8.0-3120200116003453.f636be4b' im Status 'testing' bereit, um die Schwachstellen zu beheben, welche den MySQL Server des Versionszweigs 8.0 betreffen.
Version 3 (2020-01-28 11:30): Canonical stellt für die Distributionen Ubuntu 16.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für MySQL Server 5.7 auf die Version 5.7.29 und für die Distribution Ubuntu 19.10 Sicherheitsupdates für MySQL Server 8.0 auf die Version 8.0.19 zur Behebung der für diese Versionszweige relevanten Schwachstellen zur Verfügung.
Version 4 (2020-02-21 10:57): Für Fedora 30 Modular steht ein neues Sicherheitsupdate für MySQL auf Version 8.0.19 im Status 'testing' bereit.

Betroffene Software

Datensicherung
Entwicklung
Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Client, MySQL Cluster, MySQL Enterprise Backup und MySQL Workbench ermöglichen einem entfernten, sowohl einfach als auch nicht authentisierten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe, die komplette Kompromittierung betroffener Komponenten, das Ausspähen von Informationen und die Manipulation von Dateien. Eine weitere Schwachstelle in der Connector/ODBC (OpenSSL) Komponente von Oracle MySQL Connectors ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen.

Oracle veröffentlicht anlässlich des Patchtages im Januar 2020 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.6.47, 5.7.29 und 8.0.19, MySQL Client auf die Versionen 5.6.47, 5.7.29 und 8.0.19, MySQL Cluster auf die Versionen 7.3.28, 7.4.27, 7.5.17 und 7.6.13, MySQL Workbench auf die Version 8.0.19 und MySQL Connectors auf die Versionen 5.3.14 und 8.0.19. Für MySQL Enterprise Backup in den Versionen 3.12.4 und 4.1.3 stehen Sicherheitsupdates bereit.

Weiterhin informiert Oracle darüber, dass mit der Schwachstelle CVE-2019-1547 auch die Schwachstellen CVE-2019-1549, CVE-2019-1552 und CVE-2019-1563 und mit der Schwachstelle CVE-2019-8457 auch die Schwachstellen CVE-2019-9936 und CVE-2019-9937 adressiert werden. Es wird auch angemerkt, dass mit dem Januar Critical Patch Update die Komponente 'SQLite' aus dem Produkt MySQL Cluster entfernt wird und das Produkt somit nicht mehr von der Schwachstelle CVE-2019-8457 betroffen ist.

Schwachstellen:

CVE-2019-1547

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-16168

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2019-8457

Schwachstelle in Berkeley DB / SQLite ermöglicht u. a. Ausspähen von Informationen

CVE-2020-2570 CVE-2020-2573

Schwachstellen in Oracle MySQL Client ermöglichen Denial-of-Service-Angriffe

CVE-2020-2572

Schwachstelle in Oracle MySQL Server ermöglicht die Manipulation von Dateien