2023-0105: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Übernahme der Software

Historie:

Version 1 (2023-01-18 16:09)

Neues Advisory

Version 2 (2023-02-08 09:46)

Für Fedora 36 und 37 stehen Sicherheitsupdates in Form von 'community-mysql-8.0.32-1'-Paketen im Status 'testing' bereit, womit MySQL auf Version 8.0.32 aktualisiert wird.

Betroffene Software

Entwicklung
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Enterprise Monitor, MySQL Server, MySQL Workbench, MySQL Shell, MySQL Connectors und MySQL Cluster aus der Ferne ausnutzen, um die betreffende Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um die betreffende Software vollständig zu kompromittieren. Eine Schwachstelle kann ein Angreifer lokal ausnutzen, um die betreffende Software vollständig zu kompromittieren

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Oracle veröffentlicht anlässlich des Patchtages im Januar 2023 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Enterprise Monitor auf die Version 8.0.33, MySQL Server auf die Versionen 5.7.41 und 8.0.32, MySQL Workbench auf die Version 8.0.32, MySQL Shell auf die Version 8.0.32, MySQL Connectors auf die Version 8.0.32 und MySQL Cluster auf die Versionen 7.4.39, 7.5.29, 7.6.25 und 8.0.32.

Im Zuge der Behebung der Schwachstellen CVE-2022-22971, CVE-2022-31692, CVE-2022-32221 und CVE-2022-40304 werden zusätzlich die Schwachstellen CVE-2022-22970, CVE-2022-31690, CVE-2022-35260, CVE-2022-42915, CVE-2022-42916 und CVE-2022-40303 behoben, die aber hier nicht weiter aufgeführt werden.

Schwachstellen:

CVE-2020-10735

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2020-36242

Schwachstelle in Python Cryptography Modul ermöglicht Denial-of-Service-Angriff

CVE-2022-1941

Schwachstelle in protobuf ermöglicht Denial-of-Service-Angriff

CVE-2022-22971

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2022-24407

Schwachstelle in Cyrus SASL ermöglicht SQL-Injection-Angriff

CVE-2022-31692

Schwachstelle in Spring Security ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-3171

Schwachstelle in protobuf-java und protobuf-javalite ermöglicht Denial-of-Service-Angriff

CVE-2022-32221

Schwachstelle in libcurl ermöglicht u. a. Ausspähen von Informationen

CVE-2022-37434

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2022-40304

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-42252

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2023-21836 CVE-2023-21871 CVE-2023-21887

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriff

CVE-2023-21840

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21860

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2023-21863 CVE-2023-21867 CVE-2023-21870 CVE-2023-21873 CVE-2023-21876

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2023-21864 CVE-2023-21865

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2023-21866

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21868

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21869 CVE-2023-21877 CVE-2023-21880

Schwachstellen in Oracle MySQL ermöglichen u. a. Denial-of-Service-Angriff

CVE-2023-21872

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-21874

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21875

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-21878 CVE-2023-21879 CVE-2023-21881 CVE-2023-21883

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2023-21882

Schwachstelle in Oracle MySQL ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.