Open Source im professionellen Einsatz

MySQL: Zahlreiche Sicherheitslücken korrigiert

 In der MySQL-Datenbank wurden zahlreiche Schwachstellen entdeckt und kürzlich korrigert. Dabei handelt es sich vorwiegend um Probleme,die einem Angreifer das Ausführen von Denial-of-Service-Attacken erlauben.  Ein entfernter Angreifer kann Fehler in folgenden MySQL-Komponenten ausnutzen, um höhere Rechte zu erlangen:

  • Server Pluggable Authentication (CVE-2016-0639)
  • Monitoring Server: hierzu muss der Angreifer allerdings auch angemeldet sein (CVE-2016-3461)
  • Server Connection Handling: der Angreifer kann Daten modifiziern (CVE-2016-2047)

Zahlreiche weitere Schwachstellen können von lokalen Angreifer ausgenutztwerden:

  • Server DML: der Angreifer kann Daten modifizieren und Denial-of-Service-Attacken ausführen (CVE-2016-0640, CVE-2016-0646, CVE-2016-0652)
  • Server DDL: Denial-of-Service-Attacke möglich (CVE-2016-0644)
  • Server FTS: Denial-of-Service-Attacke möglich (CVE-2016-0647, CVE-2016-0653)
  • Server InnoDB: Denial-of-Service-Attacke möglich (CVE-2016-0654, CVE-2016-0656)
  • JSON: der Angreifer kann auf Daten zugreifen (CVE-2016-0657)
  • Server Optimizer: Denial-of-Service-Attacke möglich (CVE-2016-0651, CVE-2016-0658, CVE-2016-0659)
  • Server PS: Denial-of-Service-Attacke möglich (CVE-2016-0648, CVE-2016-0649)
  • Server Partition: Denial-of-Service-Attacke möglich (CVE-2016-0662)
  • Server Replication: Denial-of-Service-Attacke möglich (CVE-2016-0650)
  • Server Security Encryption: Denial-of-Service-Attacke möglich (CVE-2016-0665)
  • Server Security Privileges: Denial-of-Service-Attacke möglich (CVE-2016-0666)
  • Server MyISAM : Zugriff auf Daten und Denial-of-Service-Attacke möglich (CVE-2016-0641)
  • Server Federated: Zugriff auf Daten und Denial-of-Service-Attacke möglich (CVE-2016-0642)
  • Server InnoDB: Denial-of-Service-Attacke möglich (CVE-2016-0655, CVE-2016-0668)
  • Server Options: Denial-of-Service-Attacke möglich (CVE-2016-0661)
  • Server Performance Schema: Denial-of-Service-Attacke möglich (CVE-2016-0663)
  • Server Locking: Denial-of-Service-Attacke möglich (CVE-2016-0667)
  • Server DML: Zugriff auf Daten (CVE-2016-0643)

Betroffen sind die Versionen 5.5.48, 5.6.29, 5.7.11 und älter. 

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.