Open Source im professionellen Einsatz

DFN-CERT-2017-0889 MySQL Connectors/J JDBC Driver: Zwei Schwachstellen ermöglichen das Ausspähen und Manipulieren von Daten [Linux][Debian]

19.05.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle MySQL Connector/J < 5.1.42


Betroffene Plattformen:

Debian Linux 8.8 Jessie
Debian Linux 9.0 Stretch



Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten
Angreifer das Ausspähen und Manipulieren von Daten. Eine weitere
Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer
ebenfalls die Manipulation von Daten.

Debian stellt für die stabile Distribution Jessie und die zukünftige stabile
Distribution Stretch Sicherheitsupdates für 'mysql-connector-java' auf die
aktuelle Version 5.1.42 bereit, um diese Schwachstellen zu beheben.


Patch:

Debian Security Advisory DSA-3857-1

<https://www.debian.org/security/2017/dsa-3857>


CVE-2017-3589: Schwachstelle in Oracle MySQL ermöglicht Manipulation von
Daten

In der Subkomponente Connector/J des MySQL Connectors bis Version 5.1.41 von
Oracle MySQL existiert eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein lokaler, einfach authentifizierter Angreifer mit
niedrigen Privilegien und Logon zur Infrastruktur, auf der MySQL Connectors
ausgeführt wird, kann diese Schwachstelle über mehrere Protokolle ausnutzen,
um einige der über MySQL Server erreichbaren Daten zu aktualisieren,
einzufügen oder zu löschen.


CVE-2017-3586: Schwachstelle in Oracle MySQL ermöglicht Ausspähen und
Manipulieren von Daten

In der Subkomponente Connector/J des MySQL Connectors von Oracle MySQL
existiert eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über mehrere Protokolle
ausnutzen, um unautorisiert einige über MySQL Connectors zugreifbare Daten
zu aktualisieren, einzufügen oder zu löschen sowie unautorisiert ein Subset
der Daten zu lesen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0889/>

Schwachstelle CVE-2017-3586 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3586>

Schwachstelle CVE-2017-3589 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3589>

Debian Security Advisory DSA-3857-1:
<https://www.debian.org/security/2017/dsa-3857>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.