2022-0866: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software
Historie:
- Version 1 (2022-04-20 18:25)
- Neues Advisory
- Version 2 (2022-05-03 18:13)
- Canonical stellt für Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates bereit, mit denen die jeweiligen Schwachstellen adressiert werden. Die Software wird damit auf Version 8.0.29 (Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS) bzw. 5.7.38 (Ubuntu 18.04 LTS) aktualisiert.
- Version 3 (2022-05-05 09:07)
- Canonical stellt korrespondierend zu USN-5400-1 für Ubuntu 16.04 ESM ebenfalls ein Sicherheitsupdate bereit, mit dem die entsprechenden Schwachstellen adressiert werden. Die Software wird damit auf Version 5.7.38 aktualisiert.
- Version 4 (2022-05-06 08:52)
- Canonical informiert darüber, dass mit USN-5400-1 zur Behebung der Schwachstellen in MySQL eine Regression ausgelöst wurde, welche den Bruch bestehender 'charm'-Konfigurationen zur Folge hatte. Dieses Problem wird mit einem neuen Update behoben.
Betroffene Software
Entwicklung
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Connectors, MySQL Cluster, MySQL Enterprise Monitor und MySQL Workbench ausnutzen, um die Software vollständig zu kompromittieren, Denial-of-Service (DoS)-Angriffe durchzuführen, Informationen auszuspähen und Daten zu manipulieren. Ein Angreifer kann mehrere weitere Schwachstellen im benachbarten Netzwerk ausnutzen, um Daten zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Eine Schwachstelle kann ein Angreifer lokal ausnutzen, um die betroffene Komponente komplett zu kompromittieren.
Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Oracle veröffentlicht anlässlich des Patchtags im April 2022 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.7.38 und 8.0.29, MySQL Cluster auf die Versionen 7.4.36, 7.5.26, 7.6.22 und 8.0.29, MySQL Connectors auf die Version 8.0.29, MySQL Enterprise Monitor auf die Version 8.0.30 und MySQL Workbench auf die Version 8.0.29.
Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2021-41184 auch die Schwachstellen CVE-2021-41182 und CVE-2021-41183 und mit dem Patch für CVE-2022-23305 auch die Schwachstellen CVE-2019-17571, CVE-2021-4104, CVE-2022-23302 und CVE-2022-23307 adressiert werden.
Schwachstellen:
CVE-2021-22570
Schwachstelle in protobuf ermöglicht Denial-of-Service-AngriffCVE-2021-41184
Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-AngriffCVE-2021-42340
Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-AngriffCVE-2021-44832
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-0778
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2022-21412 CVE-2022-21414 CVE-2022-21435 CVE-2022-21436 CVE-2022-21437 CVE-2022-21438 CVE-2022-21452 CVE-2022-21462
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2022-21413 CVE-2022-21415
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2022-21417 CVE-2022-21427
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2022-21418
Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21423
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21425 CVE-2022-21440 CVE-2022-21459 CVE-2022-21478 CVE-2022-21479
Schwachstellen in Oracle MySQL ermöglichen u. a. Denial-of-Service-AngriffeCVE-2022-21451 CVE-2022-21444
Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-AngriffeCVE-2022-21454
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2022-21457
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2022-21460
Schwachstelle in Oracle MySQL ermöglicht Ausspähen von InformationenCVE-2022-21482
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2022-21483 CVE-2022-21489 CVE-2022-21490
Schwachstellen in Oracle MySQL ermöglichen komplette Kompromittierung der SoftwareCVE-2022-21484 CVE-2022-21485 CVE-2022-21486
Schwachstellen in Oracle MySQL ermöglichen u. a. Denial-of-Service-AngriffeCVE-2022-22965
Schwachstelle in Spring Framework ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-23181
Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes mit BenutzerrechtenCVE-2022-23305
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen SQL-Codes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.