2026-0206: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2026-01-21 13:55): Neues Advisory
Version 2 (2026-02-03 07:52): Für Ubuntu 22.04 LTS, 24.04 LTS und 25.10 stehen Sicherheitsupdates für 'mysql-8.0' und 'mysql-8.4' bereit, um sechs Schwachstellen zu beheben.

Betroffene Software

Datensicherung
Entwicklung
Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Workbench, MySQL Enterprise Backup, MySQL Cluster, MySQL Server und MySQL Connectors aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Schreibzugriff auf alle der von der Software erreichbaren oder kritische Daten zu erhalten und um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht mit dem Patchtag im Januar 2026 Sicherheitsupdates für die betroffenen Komponenten.

Die Schwachstelle CVE-2025-6965 betrifft nur MySQL-Server-Docker-Images. SQLite wird vom MySQL-Server nicht direkt verwendet.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2025-65018

Schwachstelle in libpng ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-6965

Schwachstelle in SQLite ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2025-9086

Schwachstelle in curl und libcurl ermöglicht u. a. Denial-of-Service-Angriff