2020-1508: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-07-15 15:59)
- Neues Advisory
- Version 2 (2020-07-29 11:17)
- Canonical veröffentlicht für die Distribution Ubuntu 20.04 LTS ein Sicherheitsupdate auf die MySQL Version 8.0.21. Für die Distributionen Ubuntu 18.04 LTS und 16.04 LTS wird MySQL auf die Version 5.7.31 aktualisiert, um die in dem jeweiligen Versionszweig existierenden Schwachstellen zu beheben.
- Version 3 (2020-08-06 11:55)
- Der Umstieg auf die Version 8.0.21 in Ubuntu 20.04 hat Compiler-Optionen unerwartet geändert, wodurch in manchen Fällen Probleme aufgetreten sind. Canonical veröffentlicht zur Behebung der Regression ein Update für Ubuntu 20.04 LTS.
- Version 4 (2020-09-04 10:14)
- Für Fedora 31 und 32 sowie für Fedora 31 und 32 Modular stehen Sicherheitsupdates in Form der Pakete 'community-mysql-8.0.21-11.fc31' und 'community-mysql-8.0.21-11.fc32' bzw. 'mysql-8.0-3120200902143940.f636be4b' und 'mysql-8.0-3220200902143940.43bbeeef' bereit.
Betroffene Software
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Client, MySQL Cluster, MySQL Connectors (Connector/C++, Connector/ODBC) und MySQL Enterprise Monitor ermöglichen einem entfernten Angreifer, der teilweise mit üblichen oder erweiterten Benutzerrechten ausgestattet sein muss, die komplette Kompromittierung der Software, das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, die Manipulation von Dateien, die Durchführung von Denial-of-Service (DoS)-Angriffen und das Umgehen von Sicherheitsvorkehrungen.
Oracle veröffentlicht anlässlich des Patchtages im Juli 2020 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.6.49, 5.7.31 und 8.0.21, MySQL Client auf die Versionen 5.6.49, 5.7.31 und 8.0.21, MySQL Cluster auf die Versionen 7.3.30, 7.4.29, 7.5.19, 7.6.15 und 8.0.21, MySQL Connectors auf die Version 8.0.21 und MySQL Enterprise Monitor auf die Versionen 4.0.13 und 8.0.21.
Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2020-1938 auch die Schwachstellen CVE-2019-17569 und CVE-2020-1935 und mit dem Patch für CVE-2020-5398 auch die Schwachstelle CVE-2020-5397 adressiert werden.
Schwachstellen:
CVE-2019-1551
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-14539
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14540
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14547
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14550
Schwachstelle in Oracle MySQL Client ermöglicht Denial-of-Service-AngriffCVE-2020-14553
Schwachstelle in Oracle MySQL Server ermöglicht Manipulation von DatenCVE-2020-14559
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2020-14567
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14568 CVE-2020-14623
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2020-14575 CVE-2020-14620
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2020-14576
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14586 CVE-2020-14702
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2020-14591
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14597 CVE-2020-14614 CVE-2020-14654 CVE-2020-14725
Schwachstellen in Oracle MySQL Server ermöglichen Denial-of-Service-AngriffeCVE-2020-14619
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14624
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14631
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14632
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14633
Schwachstelle in Oracle MySQL Server ermöglicht Manipulation von DatenCVE-2020-14634
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2020-14641
Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von InformationenCVE-2020-14643 CVE-2020-14651
Schwachstellen in Oracle MySQL Server ermöglichen u. a. Denial-of-Service-AngriffeCVE-2020-14656
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-14663 CVE-2020-14678 CVE-2020-14697
Schwachstellen in Oracle MySQL Server ermöglichen komplette Kompromittierung der SoftwareCVE-2020-14680
Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-AngriffCVE-2020-1938
Schwachstelle in Apache Tomcat ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2020-1967
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2020-5258
Schwachstelle in Dojo ermöglicht Manipulation von DatenCVE-2020-5398
Schwachstelle in Oracle MySQL Enterprise Monitor rmöglicht komplette Kompromittierung der Software
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.