2021-1537: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software
Historie:
- Version 1 (2021-07-21 16:15)
- Neues Advisory
- Version 2 (2021-07-27 10:01)
- Canonical veröffentlicht für die Distributionen Ubuntu 20.04 LTS und Ubuntu 21.04 Sicherheitsupdates auf die MySQL Version 8.0.26. Für Ubuntu 18.04 LTS steht ein Sicherheitsupdate auf die MySQL Version 5.7.35 zur Verfügung.
- Version 3 (2021-08-18 10:39)
- Für Fedora 33 (Modular) und 34 (Modular) stehen Sicherheitsupdates auf die MySQL Version 8.0.26 im Status 'testing' bereit.
- Version 4 (2021-09-21 17:24)
- Für Red Hat Enterprise Linux 8 (x86_64, aarch64), 8.4 Extended Update Support 8.4 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64) stehen Sicherheitsupdates für das Modul 'mysql:8.0' bereit, um die Schwachstellen zu beheben. 'mysql' wird damit auf Version 8.0.26 aktualisiert. Hiermit werden zahlreiche weitere Schwachstellen adressiert, welche bereits mit den Oracle Critical Patch Update Advisories vom Oktober 2020, Januar 2021 und April 2021 behoben wurden.
- Version 5 (2021-09-23 13:25)
- Für Oracle Linux 8 (x86_64, aarch64) steht ein Sicherheitsupdate für das Modul 'mysql:8.0' bereit, um die Schwachstellen zu beheben. 'mysql' wird damit auf Version 8.0.26 aktualisiert. Hiermit werden wiederum zahlreiche weitere Schwachstellen adressiert, welche bereits mit den Oracle Critical Patch Update Advisories vom Oktober 2020, Januar 2021 und April 2021 behoben wurden.
- Version 6 (2021-10-08 09:29)
- Canonical veröffentlicht für die Distribution Ubuntu 16.04 ESM ein Sicherheitsupdate auf die MySQL Version 5.7.35, um die betreffenden Schwachstellen zu adressieren.
Betroffene Software
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Connectors, MySQL Cluster und MySQL Enterprise Monitor aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine weitere Schwachstelle lokal ausnutzen, um Informationen auszuspähen. Eine Schwachstelle erfordert die Interaktion eines Benutzers.
Oracle veröffentlicht anlässlich des Patchtags im Juli 2021 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.7.35 und 8.0.26, MySQL Cluster auf die Version 8.0.26, MySQL Connectors auf die Version 8.0.26 und MySQL Enterprise Monitor auf die Version 8.0.24.
Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2021-22884 auch die Schwachstellen CVE-2021-22883 und CVE-2021-23840, mit dem Patch für CVE-2021-22901 auch die Schwachstellen CVE-2021-22897 und CVE-2021-22898, mit dem Patch für CVE-2021-25122 auch die Schwachstelle CVE-2021-25329 und mit dem Patch für CVE-2021-3450 auch die Schwachstelle CVE-2021-3449 adressiert werden.
Schwachstellen:
CVE-2019-17543
Schwachstelle in LZ4 ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-7017
Schwachstelle in Kibana ermöglicht Cross-Site-Scripting-AngriffCVE-2021-22884
Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-22901
Schwachstelle in curl ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-2339 CVE-2021-2352 CVE-2021-2399
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-2340
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2342
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2354
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2356
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2357 CVE-2021-2367 CVE-2021-2383 CVE-2021-2384 CVE-2021-2387 CVE-2021-2410
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-2370 CVE-2021-2440
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-2372
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2374
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2021-2385
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2389 CVE-2021-2390
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-2402
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2411
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2412
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2417
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2418 CVE-2021-2425 CVE-2021-2426 CVE-2021-2427 CVE-2021-2437 CVE-2021-2441
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-2422
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2424
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2429
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-2444
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-25122
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2021-3450
Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.