2022-1609: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2022-07-20 14:28)

Neues Advisory

Version 2 (2022-07-29 09:01)

Canonical stellt für Ubuntu 20.04 LTS und Ubuntu 22.04 LTS Sicherheitsupdates für MySQL auf Version 8.0.30 sowie für Ubuntu 18.04 LTS und Ubuntu 16.04 ESM auf MySQL 5.7.39 zur Verfügung.

Version 3 (2022-08-15 10:57)

Für Fedora 35 und 36 sowie für Fedora 35 und 36 Modular stehen Sicherheitsupdates in Form der Pakete 'community-mysql-8.0.30-2.fc35' und 'community-mysql-8.0.30-2.fc36' bzw. 'mysql-8.0-3520220810164614.f27b74a8' und 'mysql-8.0-3620220810164614.5e5ad4a0' im Status 'testing' bereit, womit MySQL auf Version 8.0.30 aktualisiert wird.

Betroffene Software

Entwicklung
Server
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Cluster, MySQL Enterprise Monitor, MySQL Shell, MySQL Shell for VS Code und MySQL Workbench ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine weitere Schwachstelle im benachbarten Netzwerk ausnutzen, um ebenfalls die Software vollständig zu kompromittieren. Ein Angreifer kann letztlich zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Juli 2022 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.7.39 und 8.0.30, MySQL Enterprise Monitor auf die Version 8.0.31, MySQL Cluster auf die Version 8.0.30, MySQL Shell auf die Version 8.0.29, MySQL Shell for VS Code auf die Version 1.3.1 und MySQL Workbench auf die Version 8.0.30. Für die MySQL Cluster Versionszweige 7.4.x, 7.5.x und 7.6.x stehen zunächst keine neuen Versionen zur Verfügung.

Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2022-21824 auch die Schwachstellen CVE-2021-44531, CVE-2021-44532 und CVE-2021-44533 adressiert werden.

Schwachstellen:

CVE-2018-25032

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2020-26237

Schwachstelle in highlight.js ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-22119

Schwachstelle in Spring Security ermöglicht Denial-of-Service-Angriff

CVE-2021-31805

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2022-1292

Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-21455

Schwachstelle in Oracle MySQL ermöglicht Manipulation von Daten

CVE-2022-21515

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21517 CVE-2022-21537

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2022-21519

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21522

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21525 CVE-2022-21526 CVE-2022-21529 CVE-2022-21530 CVE-2022-21531 CVE-2022-21553

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2022-21527 CVE-2022-21528 CVE-2022-21509

Schwachstellen in Oracle MySQL ermöglichen u. a. Denial-of-Service-Angriffe

CVE-2022-21534

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21535

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21538

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21539

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-21547

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21550

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2022-21555

Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von Daten

CVE-2022-21556

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-21569

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21824

Schwachstelle in Node.js ermöglicht u. a. Manipulation von Dateien

CVE-2022-22968

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-23308

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-27778

Schwachstelle in curl ermöglicht u. a. Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.