2022-2306: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. vollständigen Übernahme der Software

Historie:

Version 1 (2022-10-19 17:09)

Neues Advisory

Version 2 (2022-10-25 09:25)

Canonical stellt für Ubuntu 22.04 LTS, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'mysql-8.0' bzw. 'mysql-5.7' bereit, um die betreffenden Schwachstellen zu beheben. MySQL wird damit auf Version 8.0.31 in Ubuntu 20.04 LTS und Ubuntu 22.04 LTS sowie auf Version 5.7.40 in Ubuntu 18.04 LTS aktualisiert.

Version 3 (2022-10-27 09:10)

Canonical stellt korrespondierend zu USN-5696-1 für Ubuntu 16.04 ESM ein Sicherheitsupdate für 'mysql-5.7' bereit, um die betreffenden Schwachstellen zu beheben. MySQL wird damit auf Version 5.7.40 aktualisiert.

Betroffene Software

Datensicherung
Entwicklung
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Connectors, MySQL Enterprise Backup, MySQL Enterprise Monitor, MySQL Installer, MySQL Server, MySQL Shell und MySQL Workbench aus der Ferne ausnutzen, um die betreffende Software vollständig zu kompromittieren, Informationen auszuspähen, Daten zu manipulieren und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Daten zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtages im Oktober 2022 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Connectors auf die Version 8.0.31, MySQL Enterprise Backup auf die Version 4.1.5, MySQL Installer auf die Version 1.6.4, MySQL Server auf die Versionen 5.7.40 und 8.0.31, MySQL Shell auf die Version 8.0.31 und MySQL Workbench auf die Version 8.0.31.

Mit der Behebung der Schwachstelle CVE-2022-32207 werden außerdem die Schwachstellen CVE-2022-32205, CVE-2022-32206 und CVE-2022-32208 adressiert.

Schwachstellen:

CVE-2022-2097

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2022-21589

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2022-21592

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2022-21594 CVE-2022-21599 CVE-2022-21604 CVE-2022-21632 CVE-2022-21633 CVE-2022-21637 CVE-2022-21640 CVE-2022-39400

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2022-21595

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21600

Schwachstelle in Oracle MySQL ermöglicht Übernahme der Software

CVE-2022-21605 CVE-2022-21607

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2022-21608 CVE-2022-21617

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2022-21611

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21625

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2022-21635

Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von Daten

CVE-2022-21638 CVE-2022-21641

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2022-29824

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-31129

Schwachstelle in Moment.js ermöglicht Denial-of-Service-Angriff

CVE-2022-32207

Schwachstelle in cURL und libcurl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34305

Schwachstelle in Apache Tomcat ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-35737

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2022-39402

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2022-39403

Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von Dateien

CVE-2022-39404

Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von Daten

CVE-2022-39408 CVE-2022-39410

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.