2021-0821: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2021-04-21 15:53)

Neues Advisory

Version 2 (2021-05-05 12:45)

Für Fedora 32 (Modular), 33 (Modular) und 34 (Modular) stehen Sicherheitsupdates auf die MySQL Version 8.0.24 im Status 'testing' bereit.

Version 3 (2021-05-14 09:44)

Canonical stellt für Ubuntu 21.04, Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'mysql-8.0' bzw. 'mysql-5.7' bereit, um die betreffenden Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Server
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Workbench, MySQL Cluster und MySQL Enterprise Monitor aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Denial-of-Service (DoS)-Angriffe durchzuführen, Dateien zu manipulieren, Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen. Zudem kann ein Angreifer zwei weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle veröffentlicht anlässlich des Patchtags im April 2021 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.7.34 und 8.0.24, MySQL Cluster auf die Version 8.0.24, MySQL Workbench auf die Version 8.0.24 und MySQL Enterprise Monitor auf die Version 8.0.24.

Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2020-17530 auch die Schwachstellen CVE-2019-0230 und CVE-2019-0233, mit dem Patch für CVE-2019-7317 auch die Schwachstelle CVE-2018-14550, mit dem Patch für CVE-2021-23841 auch die Schwachstelle CVE-2021-23840, mit dem Patch für CVE-2021-3449 auch die Schwachstelle CVE-2021-3450 und mit dem Patch für CVE-2021-3450 auch die Schwachstelle CVE-2021-3449 adressiert werden.

Schwachstellen:

CVE-2019-7317

Schwachstelle in Mozilla Firefox und Thunderbird / AWT (libpng) ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-17527

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2020-17530

Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-28196

Schwachstelle in MIT Kerberos ermöglicht Denial-of-Service-Angriff

CVE-2020-8277

Schwachstelle in c-ares ermöglicht Denial-of-Service-Angriff

CVE-2021-2144

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2021-2146

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2154

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2160

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2162

Schwachstelle in Oracle MySQL ermöglicht Manipulation von Daten

CVE-2021-2164

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2166

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2169

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2170 CVE-2021-2193 CVE-2021-2203 CVE-2021-2212 CVE-2021-2213 CVE-2021-2278 CVE-2021-2299 CVE-2021-2230

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-2171

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2172

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2174

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2178 CVE-2021-2202

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-2179

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2180 CVE-2021-2194

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-2196 CVE-2021-2300 CVE-2021-2305

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-2201 CVE-2021-2208

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-2215 CVE-2021-2217 CVE-2021-2293

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-2226

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2021-2232

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2298

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2301 CVE-2021-2308

Schwachstellen in Oracle MySQL ermöglichen Ausspähen von Informationen

CVE-2021-2304

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-2307

Schwachstelle in Oracle MySQL ermöglicht u. a. Ausspähen von Informationen

CVE-2021-23841

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2021-3449

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2021-3450

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.