2021-0131: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2021-01-20 16:16)
- Neues Advisory
- Version 2 (2021-02-01 21:25)
- Canonical stellt für Ubuntu 20.10 und 20.04 LTS Sicherheitsupdates für 'mysql-8.0' auf Version 8.0.23 bereit, mit denen die jeweiligen Schwachstellen behoben werden. Für Ubuntu 18.04 LTS und 16.04 LTS stehen die entsprechenden Sicherheitsupdates für 'mysql-5.7' auf Version 5.7.33 zur Verfügung.
- Version 3 (2021-02-08 10:09)
- Für Fedora 32 und 33 stehen Sicherheitsupdates für MySQL und MySQL Connector ODBC auf Version 8.0.23 im Status 'testing' zur Verfügung.
Betroffene Software
Entwicklung
Server
Sicherheit
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Client, MySQL Workbench und MySQL Enterprise Monitor aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen, Dateien zu manipulieren, Informationen auszuspähen und beliebigen Programmcode auszuführen. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben. Ein Angreifer mit erweiterten Privilegien kann mehrere weitere Schwachstellen lokal ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen und Informationen auszuspähen.
Oracle veröffentlicht anlässlich des Patchtages im Januar 2021 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server und Client auf die Versionen 5.6.51, 5.7.33 und 8.0.23 und MySQL Workbench auf die Version 8.0.23. Für MySQL Enterprise Monitor steht derzeit kein Patch bereit.
Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2020-13871 auch die Schwachstellen CVE-2020-11655, CVE-2020-11656, CVE-2020-15358 und CVE-2020-9327 und mit dem Patch für CVE-2020-5408 auch die Schwachstelle CVE-2020-5407 adressiert werden.
Schwachstellen:
CVE-2019-10086
Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen ProgrammcodesCVE-2020-13871
Schwachstelle in SQLite ermöglicht Denial-of-Service-AngriffCVE-2020-1971
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2020-5408
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2020-5421
Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von DatenCVE-2021-1998
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2001
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2002
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2006
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2007
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2021-2009
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2010
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2011
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2012
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2014
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2016
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2019
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2021-2020
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2021 CVE-2021-2031 CVE-2021-2036 CVE-2021-2065 CVE-2021-2070 CVE-2021-2076
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2021-2022
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2024
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2028
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2030 CVE-2021-2055
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2021-2032
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2021-2038
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2042
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2021-2046
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2048
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2056 CVE-2021-2061
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2021-2058
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2060
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2072 CVE-2021-2081
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2021-2076
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2087 CVE-2021-2088
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2021-2122
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.