2021-2188: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software
Historie:
- Version 1 (2021-10-20 17:06)
- Neues Advisory
- Version 2 (2021-10-26 08:48)
- Canonical stellt für Ubuntu 21.10, Ubuntu 21.04 und Ubuntu 20.04 LTS Sicherheitsupdates für 'mysql-8.0' sowie für Ubuntu 18.04 LTS und Ubuntu 16.04 ESM Sicherheitsupdates für 'mysql-5.7' bereit, um die betreffenden Schwachstellen zu beheben.
- Version 3 (2021-11-01 12:15)
- Für Fedora 33 (Modular) und 34 (Modular) stehen Sicherheitsupdates auf die MySQL Version 8.0.27 im Status 'testing' bereit.
- Version 4 (2021-11-02 08:52)
- Für Fedora 33, 34 und 35 (auch Modular) stehen Sicherheitsupdates auf die MySQL Version 8.0.27 im Status 'testing' bereit.
- Version 5 (2021-11-22 11:10)
- Für Fedora 35 steht ein Sicherheitsupdate für 'mysql-connector-java' auf Version 8.0.27 im Status 'testing' bereit, welches die Schwachstelle CVE-2021-2471 adressiert.
Betroffene Software
Entwicklung
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Client, MySQL Connectors, MySQL Cluster, MySQL Workbench und MySQL Enterprise Monitor aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Oracle veröffentlicht anlässlich des Patchtags im Oktober 2021 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server und Client auf die Versionen 5.7.36 und 8.0.27, MySQL Cluster auf die Version 8.0.27, MySQL Connectors auf die Version 8.0.27, MySQL Workbench auf die Version 8.0.27 und MySQL Enterprise Monitor auf die Version 8.0.26.
Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2021-22926 auch die Schwachstellen CVE-2021-22922, CVE-2021-22923, CVE-2021-22924, CVE-2021-22925, CVE-2021-22945, CVE-2021-22946 und CVE-2021-22947, mit dem Patch für CVE-2021-22931 auch die Schwachstellen CVE-2021-22939 und CVE-2021-22940, mit dem Patch für CVE-2021-3518 auch die Schwachstellen CVE-2019-20388, CVE-2020-24977, CVE-2020-7595, CVE-2021-3517 und CVE-2021-3537, mit dem Patch für CVE-2021-3711 auch die Schwachstelle CVE-2021-3712 und mit dem Patch für CVE-2021-3712 auch die Schwachstelle CVE-2021-3711 adressiert werden.
Schwachstellen:
CVE-2021-20227
Schwachstelle in SQLite ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-22112
Schwachstelle in Spring Security ermöglicht PrivilegieneskalationCVE-2021-22118
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2021-22926
Schwachstelle in libcurl ermöglicht Denial-of-Service-AngriffCVE-2021-22931
Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-AngriffCVE-2021-2471
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2478 CVE-2021-2479 CVE-2021-35537 CVE-2021-35591
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-2481
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-29425
Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-AngriffCVE-2021-33037
Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-AngriffCVE-2021-3518
Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-35546
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35575 CVE-2021-35577 CVE-2021-35626 CVE-2021-35627 CVE-2021-35628 CVE-2021-35629
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-35583
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35584
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35590 CVE-2021-35593 CVE-2021-35594 CVE-2021-35598 CVE-2021-35621
Schwachstellen in Oracle MySQL ermöglichen komplette Kompromittierung der SoftwareCVE-2021-35592
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2021-35596
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35597
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35602
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-35604
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-35607
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35608
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35610
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-35612
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-35613
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35618
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35622
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35623
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2021-35624
Schwachstelle in Oracle MySQL ermöglicht Manipulation von DatenCVE-2021-35625
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2021-35630
Schwachstelle in Oracle MySQL ermöglicht Manipulation von DatenCVE-2021-35631
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35632
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35633
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35634 CVE-2021-35635 CVE-2021-35636 CVE-2021-35638
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-35637
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35639
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-35640
Schwachstelle in Oracle MySQL ermöglicht Manipulation von DatenCVE-2021-35641 CVE-2021-35642 CVE-2021-35643 CVE-2021-35644 CVE-2021-35645 CVE-2021-35646 CVE-2021-35647
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2021-35648
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2021-36222
Schwachstelle in MIT Kerberos ermöglicht Denial-of-Service-AngriffCVE-2021-3711
Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-3712
Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.