2023-0885: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Übernahme der Software

Historie:

Version 1 (2023-04-19 14:28)

Neues Advisory

Version 2 (2023-05-02 10:30)

Für Fedora 37 und 38 stehen Sicherheitsupdates in Form von 'community-mysql-8.0.33-2'-Paketen im Status 'testing' bereit, womit MySQL auf Version 8.0.33 aktualisiert wird.

Betroffene Software

Entwicklung
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer, der in den meisten Fällen über niedrige oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Enterprise Monitor, MySQL Server, MySQL Workbench, MySQL Connectors und MySQL Cluster aus der Ferne ausnutzen, um die betreffende Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Oracle veröffentlicht anlässlich des Patchtages im April 2023 Sicherheitsupdates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Enterprise Monitor auf die Version 8.0.34, MySQL Server auf die Versionen 5.7.42 und 8.0.33, MySQL Workbench auf die Version 8.0.33, MySQL Connectors auf die Version 8.0.33 und MySQL Cluster auf die Version 8.0.33.

Mit der Behebung der Schwachstelle CVE-2022-43548 werden außerdem die Schwachstellen CVE-2022-3602 und CVE-2022-3786 und mit Behebung der Schwachstelle CVE-2023-0215 die Schwachstellen CVE-2022-4304, CVE-2022-4450 und CVE-2023-0286 adressiert.

Mit dem Update für MySQL Cluster wird zusätzlich die Schwachstelle CVE-2022-37434 behoben, die jedoch im Kontext des Produkts ohnehin nicht ausnutzbar war.

Schwachstellen:

CVE-2022-31160

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-37434

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2022-43548

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-43551

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45143

Schwachstelle in Apache Tomcat ermöglicht Manipulation von Dateien

CVE-2023-0215

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2023-21911

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21912

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21913 CVE-2023-21917 CVE-2023-21920 CVE-2023-21935 CVE-2023-21945 CVE-2023-21976 CVE-2023-21977 CVE-2023-21982

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2023-21919 CVE-2023-21933

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2023-21929

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-21940 CVE-2023-21947

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2023-21946

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21953 CVE-2023-21955

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2023-21962

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21963

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21966

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21971

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-21972

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2023-21980

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.