2020-0775: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung des Systems
Historie:
- Version 1 (2020-04-15 19:41)
- Neues Advisory
- Version 2 (2020-05-04 12:33)
- Für Fedora und Fedora Modular 30, 31 und 32 stehen Sicherheitsupdates auf die MySQL Version 8.0.20 im Status 'testing' zur Verfügung.
- Version 3 (2020-05-04 19:05)
- Canonical veröffentlicht für die Distributionen Ubuntu 16.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates auf die MySQL Version 5.7.30, um die in dem Versionszweig enthaltenen Schwachstellen zu schließen. Für die Distributionen Ubuntu 19.10 und Ubuntu 20.04 LTS stehen Sicherheitsupdates auf die MySQL Version 8.0.80 bereit.
- Version 4 (2020-06-12 10:18)
- Für Debian 8 Jessie (LTS) steht die Paketversion 5.1.49-0+deb8u1 und für Debian 9 Stretch (oldstable) die Paketversion 5.1.49-0+deb9u1 von 'mysql-connector-java' als Sicherheitsupdate zur Behebung der Schwachstellen im MySQL Connector/J JDBC Treiber bereit.
- Version 5 (2020-08-27 11:05)
- Für Fedora 32 steht ein Sicherheitsupdate zur Behebung der Schwachstellen im MySQL Connector/J JDBC Treiber bereit, welcher damit auf Version 8.0.21 aktualisiert wird.
Betroffene Software
Entwicklung
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Client, MySQL Cluster, MySQL Connectors (Connector/J), MySQL Enterprise Monitor und MySQL Workbench ermöglichen einem entfernten Angreifer, der teilweise mit üblichen oder erweiterten Benutzerrechten ausgestattet sein muss, verschiedene Denial-of-Service (DoS)-Angriffe, die komplette Kompromittierung betroffener Komponenten, das Ausspähen von Informationen und die Manipulation von Dateien. In einigen Fällen ist für einen erfolgreichen Angriff die Interaktion eines Benutzers erforderlich.
Oracle veröffentlicht anlässlich des Patchtages im April 2020 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.6.48, 5.7.30 und 8.0.20, MySQL Client auf die Versionen 5.6.48, 5.7.30 und 8.0.20, MySQL Cluster auf die Versionen 7.3.29, 7.4.28, 7.5.18, 7.6.14 und 8.0.20, MySQL Workbench auf die Version 8.0.20 und MySQL Connectors auf die Version 8.0.20. Für MySQL Enterprise Monitor in den Versionen 4.0.11 und 8.0.18 stehen Sicherheitsupdates bereit.
Weiterhin informiert Oracle darüber, dass mit dem Patch für Schwachstelle CVE-2019-1547 auch die Schwachstellen CVE-2019-1549, CVE-2019-1552 und CVE-2019-1563, mit dem Patch für CVE-2019-19646 auch CVE-2019-19242, CVE-2019-19244, CVE-2019-19317, CVE-2019-19603, CVE-2019-19645, CVE-2019-19880, CVE-2019-19923, CVE-2019-19924, CVE-2019-19925, CVE-2019-19926, CVE-2019-19959 und CVE-2019-20218 und mit dem Patch für CVE-2019-5482 auch CVE-2019-5481 adressiert werden.
Schwachstellen:
CVE-2019-14889
Schwachstelle in libssh ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-1547
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2019-15601
Schwachstelle in cURL und libcurl ermöglicht Ausspähen von InformationenCVE-2019-17563
Schwachstelle in Apache Tomcat ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-19646
Schwachstelle in SQLite ermöglicht komplette Kompromittierung der SoftwareCVE-2019-5482
Schwachstelle in cURL ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-2752
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2759
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2760
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-2761 CVE-2020-2774 CVE-2020-2779 CVE-2020-2853
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2020-2762 CVE-2020-2893 CVE-2020-2895
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2020-2763
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2765
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2768
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-2770
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2780
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2790
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2804
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2806
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2812
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2814
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2875
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Manipulation von DatenCVE-2020-2892 CVE-2020-2897 CVE-2020-2901 CVE-2020-2904 CVE-2020-2923 CVE-2020-2924 CVE-2020-2928
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2020-2896
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2898
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2903
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2921
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2922
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2020-2925
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2926
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2930
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2933
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-2934
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.