2022-0118: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software
Historie:
- Version 1 (2022-01-19 16:14)
- Neues Advisory
- Version 2 (2022-02-03 16:30)
- Canonical stellt für Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates bereit, mit denen die jeweiligen Schwachstellen in 'mysql-5.7' und 'mysql-8.0' adressiert werden. Die Software wird damit auf Version 8.0.28 (Ubuntu 21.10, Ubuntu 20.04 LTS) beziehungsweise 5.7.37 (Ubuntu 18.04 LTS) aktualisiert.
- Version 3 (2022-02-04 08:55)
- Canonical stellt korrespondierend zu USN-5270-1 für Ubuntu 16.04 ESM ein Sicherheitsupdate für 'mysql-5.7' bereit, um die betreffenden Schwachstellen zu beheben.
- Version 4 (2022-04-06 10:02)
- Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'community-mysql-8.0.28-1.fc34' und 'community-mysql-8.0.28-1.fc35' im Status 'testing' bereit, um die betreffenden Schwachstellen zu beheben. Hiermit erfolgt ein Update auf MySQL 8.0.28.
Betroffene Software
Entwicklung
Server
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Client, MySQL Connectors, MySQL Cluster und MySQL Workbench aus der Ferne ausnutzen, um Informationen auszuspähen, die Software vollständig zu kompromittieren und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um die Software vollständig zu kompromittieren und Denial-of-Service (DoS)-Angriffe durchzuführen. Letztlich kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Oracle veröffentlicht anlässlich des Patchtags im Januar 2022 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server und Client auf die Versionen 5.7.37 und 8.0.28, MySQL Cluster auf die Versionen 7.4.35, 7.5.25, 7.6.21 und 8.0.28, MySQL Connectors auf die Version 8.0.28 und MySQL Workbench auf die Version 8.0.28.
Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2021-22946 auch die Schwachstelle CVE-2021-22947 und mit dem Patch für CVE-2021-3712 auch die Schwachstelle CVE-2021-3711 adressiert werden.
Schwachstellen:
CVE-2021-22946
Schwachstelle in curl ermöglicht Ausspähen von InformationenCVE-2021-3634
Schwachstelle in libssh ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-3712
Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21245
Schwachstelle in Oracle MySQL ermöglicht Manipulation von DatenCVE-2022-21249
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21253 CVE-2022-21264 CVE-2022-21297 CVE-2022-21339 CVE-2022-21342 CVE-2022-21370
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2022-21254
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21256 CVE-2022-21379
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2022-21265
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21270
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21278
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21279 CVE-2022-21280 CVE-2022-21284 CVE-2022-21285 CVE-2022-21286 CVE-2022-21287 CVE-2022-21288 CVE-2022-21289
Schwachstellen in Oracle MySQL ermöglichen komplette Kompromittierung der SoftwareCVE-2022-21290 CVE-2022-21308 CVE-2022-21320 CVE-2022-21322 CVE-2022-21334
Schwachstellen in Oracle MySQL ermöglichen komplette Kompromittierung der SoftwareCVE-2022-21301
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21302
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21303
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21304
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21307 CVE-2022-21309 CVE-2022-21310 CVE-2022-21314 CVE-2022-21315 CVE-2022-21316 CVE-2022-21326 CVE-2022-21327
Schwachstellen in Oracle MySQL ermöglichen komplette Kompromittierung der SoftwareCVE-2022-21311 CVE-2022-21312 CVE-2022-21313 CVE-2022-21317 CVE-2022-21319 CVE-2022-21321 CVE-2022-21323 CVE-2022-21324
Schwachstellen in Oracle MySQL ermöglichen u. a. Denial-of-Service-AngriffCVE-2022-21318
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2022-21325 CVE-2022-21331 CVE-2022-21333 CVE-2022-21355 CVE-2022-21357
Schwachstellen in Oracle MySQL ermöglichen u. a. Denial-of-Service-AngriffCVE-2022-21328 CVE-2022-21329 CVE-2022-21332 CVE-2022-21335 CVE-2022-21336 CVE-2022-21337 CVE-2022-21356 CVE-2022-21380
Schwachstellen in Oracle MySQL ermöglichen komplette Kompromittierung der SoftwareCVE-2022-21330
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2022-21344
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21348
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21351
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21352
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21358
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21362 CVE-2022-21374
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffCVE-2022-21363
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2022-21367
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21368
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21372
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21378
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.