2021-2188: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2021-10-20 17:06)

Neues Advisory

Version 2 (2021-10-26 08:48)

Canonical stellt für Ubuntu 21.10, Ubuntu 21.04 und Ubuntu 20.04 LTS Sicherheitsupdates für 'mysql-8.0' sowie für Ubuntu 18.04 LTS und Ubuntu 16.04 ESM Sicherheitsupdates für 'mysql-5.7' bereit, um die betreffenden Schwachstellen zu beheben.

Version 3 (2021-11-01 12:15)

Für Fedora 33 (Modular) und 34 (Modular) stehen Sicherheitsupdates auf die MySQL Version 8.0.27 im Status 'testing' bereit.

Version 4 (2021-11-02 08:52)

Für Fedora 33, 34 und 35 (auch Modular) stehen Sicherheitsupdates auf die MySQL Version 8.0.27 im Status 'testing' bereit.

Version 5 (2021-11-22 11:10)

Für Fedora 35 steht ein Sicherheitsupdate für 'mysql-connector-java' auf Version 8.0.27 im Status 'testing' bereit, welches die Schwachstelle CVE-2021-2471 adressiert.

Betroffene Software

Entwicklung
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Client, MySQL Connectors, MySQL Cluster, MySQL Workbench und MySQL Enterprise Monitor aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle veröffentlicht anlässlich des Patchtags im Oktober 2021 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server und Client auf die Versionen 5.7.36 und 8.0.27, MySQL Cluster auf die Version 8.0.27, MySQL Connectors auf die Version 8.0.27, MySQL Workbench auf die Version 8.0.27 und MySQL Enterprise Monitor auf die Version 8.0.26.

Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2021-22926 auch die Schwachstellen CVE-2021-22922, CVE-2021-22923, CVE-2021-22924, CVE-2021-22925, CVE-2021-22945, CVE-2021-22946 und CVE-2021-22947, mit dem Patch für CVE-2021-22931 auch die Schwachstellen CVE-2021-22939 und CVE-2021-22940, mit dem Patch für CVE-2021-3518 auch die Schwachstellen CVE-2019-20388, CVE-2020-24977, CVE-2020-7595, CVE-2021-3517 und CVE-2021-3537, mit dem Patch für CVE-2021-3711 auch die Schwachstelle CVE-2021-3712 und mit dem Patch für CVE-2021-3712 auch die Schwachstelle CVE-2021-3711 adressiert werden.

Schwachstellen:

CVE-2021-20227

Schwachstelle in SQLite ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-22112

Schwachstelle in Spring Security ermöglicht Privilegieneskalation

CVE-2021-22118

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2021-22926

Schwachstelle in libcurl ermöglicht Denial-of-Service-Angriff

CVE-2021-22931

Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2021-2471

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-2478 CVE-2021-2479 CVE-2021-35537 CVE-2021-35591

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-2481

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-33037

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-3518

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-35546

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35575 CVE-2021-35577 CVE-2021-35626 CVE-2021-35627 CVE-2021-35628 CVE-2021-35629

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-35583

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35584

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35590 CVE-2021-35593 CVE-2021-35594 CVE-2021-35598 CVE-2021-35621

Schwachstellen in Oracle MySQL ermöglichen komplette Kompromittierung der Software

CVE-2021-35592

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2021-35596

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35597

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35602

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-35604

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-35607

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35608

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35610

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-35612

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-35613

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35618

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35622

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35623

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2021-35624

Schwachstelle in Oracle MySQL ermöglicht Manipulation von Daten

CVE-2021-35625

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2021-35630

Schwachstelle in Oracle MySQL ermöglicht Manipulation von Daten

CVE-2021-35631

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35632

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35633

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35634 CVE-2021-35635 CVE-2021-35636 CVE-2021-35638

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-35637

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35639

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-35640

Schwachstelle in Oracle MySQL ermöglicht Manipulation von Daten

CVE-2021-35641 CVE-2021-35642 CVE-2021-35643 CVE-2021-35644 CVE-2021-35645 CVE-2021-35646 CVE-2021-35647

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2021-35648

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-36222

Schwachstelle in MIT Kerberos ermöglicht Denial-of-Service-Angriff

CVE-2021-3711

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3712

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.