Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 8 (11.06.2014):
Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate bereit, welches
die referenzierten Schwachstellen, ausgenommen die CVE-2014-0001, behebt.
Version 7 (23.05.2014):
Für RHEL Desktop Workstation (v. 5 client), Red Hat Enterprise Linux (v. 5
server), Red Hat Enterprise Linux Desktop (v. 5 client) und Red Hat
Software Collections 1 für RHEL 6 wurden Sicherheitsupdates für das Paket
“mysql55-mysql” veröffentlicht, welche bis auf CVE-2014-0001 die
angegebenen Schwachstellen beheben.
Version 6 (21.05.2014):
Für Red Hat Software Collections 1 für RHEL 6 wurde ein Sicherheitsupdate
veröffentlicht, welches bis auf CVE-2014-0001 die angegebenen
Schwachstellen behebt.
Version 5 (09.05.2014):
Für Fedora EPEL 6 wurde ein Sicherheitsupdate veröffentlicht, welches bis
auf CVE-2014-0001 die angegebenen Schwachstellen behebt.
Version 4 (08.05.2014):
Für Fedora 20 wurde ein weiteres Sicherheitsupdate veröffentlicht, welches
wie die vorhergehenden auch, die Schwachstelle CVE-2014-0001 nicht
adressiert.
Version 3 (05.05.2014):
Debian hat Sicherheitspatches für die Distributionen 7.4 sowie 8.0
veröffentlicht.
Version 2 (23.04.2014):
Ubuntu hat Sicherheitspatches für die Distributionen Ubuntu 12.04 LTS,
12.10, 13.10 und 14.04 LTS veröffentlicht. Die Schwachstelle CVE-2014-0001
ist neu hinzu gekommen und bezieht sich nur auf Ubuntu.
Version 1 (22.04.2014):
Neues Advisory
Betroffene Software:
MariaDB < 5.5.37 Oracle MySQL < 5.5.37 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.4 Wheezy Debian Linux 8.0 Jessie Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux 6 SoftwareCollections1 Red Hat Enterprise Linux 7 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in der Komponente MySQL Server von Oracle MySQL und ebenso in der MariaDB ermöglichen einem entfernten Angreifer Denial-of-Service-Angriffe durchzuführen, Daten zu manipulieren oder beliebigen Programmcode auszuführen. Patch: Fedora Update FEDORA-2014-5369 https://admin.fedoraproject.org/updates/FEDORA-2014-5369/community-mysql-5.5.37-1.fc20
Patch:
Fedora Update FEDORA-2014-5393
https://admin.fedoraproject.org/updates/FEDORA-2014-5393/mariadb-5.5.37-1.fc20
Patch:
Fedora Update FEDORA-2014-5396
https://admin.fedoraproject.org/updates/FEDORA-2014-5396/community-mysql-5.5.37-1.fc19
Patch:
Fedora Update FEDORA-2014-5409
https://admin.fedoraproject.org/updates/FEDORA-2014-5409/mariadb-5.5.37-1.fc19
Patch:
Ubuntu Security Notice USN-2170-1
http://www.ubuntu.com/usn/usn-2170-1/
Patch:
Debian Security Update DSA-2919-1
https://www.debian.org/security/2014/dsa-2919
Patch:
Fedora Security Update FEDORA-2014-6120
https://admin.fedoraproject.org/updates/FEDORA-2014-6120/mariadb-galera-5.5.37-2.fc20
Patch:
Fedora Security Update FEDORA-EPEL-2014-1355
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1355/mariadb-galera-5.5.37-2.el6
Patch:
Red Hat Security Advisory RHSA-2014:0522
http://rhn.redhat.com/errata/RHSA-2014-0522.html
Patch:
Red Hat Security Advisory RHSA-2014:0536-1
https://rhn.redhat.com/errata/RHSA-2014-0536.html
Patch:
Red Hat Security Advisory RHSA-2014:0537-1
https://rhn.redhat.com/errata/RHSA-2014-0537.html
Patch:
Red Hat Security Advisory RHSA-2014:0702
http://rhn.redhat.com/errata/RHSA-2014-0702.html
CVE-2014-2440: Schwachstelle in Oracle MySQL
Eine sehr schwer ausnutzbare Schwachstelle in der Client Subkomponente der
MySQL Server Komponente von Oracle MySQL ermöglicht Netzwerk-Angriffe über
verschiedene Protokolle. Durch einen erfolgreichen Angriff kann ein
Angreifer unautorisiert Daten manipulieren, die für den MySQL Client
zugreifbar sind oder den MySQL Client in einen beschränkten
Denial-of-Service-Zustand versetzen.
CVE-2014-2438: Denial-of-Service-Schwachstelle in Oracle MySQL
Eine schwer ausnutzbare Schwachstelle in der Replication Subkomponente der
MySQL Server Komponente von Oracle MySQL ermöglicht Netzwerk-Angriffe über
verschiedene Protokolle. Voraussetzung dafür ist mehrfache, erfolgreiche
Authentifizierung des Angreifers. Durch einen erfolgreichen Angriff kann der
Angreifer die Fähigkeit erlangen, unautorisiert ein Aufhängen oder einen
wiederholten Absturz von MySQL Server zu verursachen.
CVE-2014-2436: Schwachstelle in Oracle MySQL
Eine schwer ausnutzbare Schwachstelle in der RBR Subkomponente der MySQL
Server Komponente von Oracle MySQL ermöglicht Netzwerk-Angriffe über
verschiedene Protokolle. Voraussetzung dafür ist eine erfolgreiche
Authentifizierung des Angreifers. Ein erfolgreicher Angriff kann zu einer
unautorisierten Übernahme des MySQL Servers führen, einschließlich der
eventuellen Möglichkeit beliebigen Programmcode in MySQL auszuführen.
CVE-2014-2432: Denial-of-Service-Schwachstelle in Oracle MySQL
Eine schwer ausnutzbare Schwachstelle in der Federated Subkomponente der
MySQL Server Komponente von Oracle MySQL ermöglicht Netzwerk-Angriffe über
verschiedene Protokolle. Voraussetzung dafür ist mehrfache, erfolgreiche
Authentifizierung des Angreifers. Durch einen erfolgreichen Angriff kann der
Angreifer die Fähigkeit erlangen, unautorisiert ein Aufhängen oder einen
wiederholten Absturz von MySQL Server zu verursachen.
CVE-2014-2431: Denial-of-Service-Schwachstelle in Oracle MySQL
Eine sehr schwer ausnutzbare Schwachstelle in der Options Subkomponente der
MySQL Server Komponente von Oracle MySQL ermöglicht Netzwerk-Angriffe über
verschiedene Protokolle. Voraussetzung dafür ist eine erfolgreiche
Authentifizierung des Angreifers. Durch einen erfolgreichen Angriff kann der
Angreifer die Fähigkeit erlangen, unautorisiert ein Aufhängen oder einen
wiederholten Absturz von MySQL Server zu verursachen.
CVE-2014-2430: Denial-of-Service-Schwachstelle in Oracle MySQL
Eine schwer ausnutzbare Schwachstelle in der Performance Schema
Subkomponente der MySQL Server Komponente von Oracle MySQL ermöglicht
Netzwerk-Angriffe über verschiedene Protokolle. Voraussetzung dafür ist eine
erfolgreiche Authentifizierung des Angreifers. Durch einen erfolgreichen
Angriff kann der Angreifer die Fähigkeit erlangen, unautorisiert den MySQL
Server in einen beschränkten Denial-of-Service-Zustand zu versetzen.
CVE-2014-2419: Denial-of-Service-Schwachstelle in Oracle MySQL
Eine leicht ausnutzbare Schwachstelle in der Partition Subkomponente der
MySQL Server Komponente von Oracle MySQL ermöglicht Netzwerk-Angriffe über
verschiedene Protokolle. Voraussetzung dafür ist eine erfolgreiche
Authentifizierung des Angreifers. Durch einen erfolgreichen Angriff kann der
Angreifer die Fähigkeit erlangen, unautorisiert ein Aufhängen oder einen
wiederholten Absturz von MySQL Server zu verursachen.
CVE-2014-0384: Denial-of-Service-Schwachstelle in Oracle MySQL
Eine leicht ausnutzbare Schwachstelle in der XML Subkomponente der MySQL
Server Komponente von Oracle MySQL ermöglicht Netzwerk-Angriffe über
verschiedene Protokolle. Voraussetzung dafür ist eine erfolgreiche
Authentifizierung des Angreifers. Durch einen erfolgreichen Angriff kann der
Angreifer die Fähigkeit erlangen, unautorisiert ein Aufhängen oder einen
wiederholten Absturz von MySQL Server zu verursachen.
CVE-2014-0001: Schwachstelle in MySQL Kommandozeilen Tool
Eine Schwachstelle in dem MySQL Kommandozeilen Tool bewirkt, dass eine sehr
lange Zeichenkette als Versionsangabe einen Pufferüberlauf auslösen kann und
damit einem entfernten, nicht authentifizierten Angreifer das Ausführen von
Code ermöglicht oder für einen Denial-of-Service-Angriff genutzt werden
kann.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0477/
Schwachstelle CVE-2014-0001 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0001
Schwachstelle CVE-2014-0384 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0384
Schwachstelle CVE-2014-2419 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2419
Schwachstelle CVE-2014-2430 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2430
Schwachstelle CVE-2014-2431 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2431
Schwachstelle CVE-2014-2432 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2432
Schwachstelle CVE-2014-2436 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2436
Schwachstelle CVE-2014-2438 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2438
Schwachstelle CVE-2014-2440 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2440
Fedora Update FEDORA-2014-5369:
https://admin.fedoraproject.org/updates/FEDORA-2014-5369/community-mysql-5.5.37-1.fc20
Fedora Update FEDORA-2014-5393:
https://admin.fedoraproject.org/updates/FEDORA-2014-5393/mariadb-5.5.37-1.fc20
Fedora Update FEDORA-2014-5396:
https://admin.fedoraproject.org/updates/FEDORA-2014-5396/community-mysql-5.5.37-1.fc19
Fedora Update FEDORA-2014-5409:
https://admin.fedoraproject.org/updates/FEDORA-2014-5409/mariadb-5.5.37-1.fc19
Ubuntu Security Notice USN-2170-1:
http://www.ubuntu.com/usn/usn-2170-1/
Debian Security Update DSA-2919-1:
https://www.debian.org/security/2014/dsa-2919
Fedora Security Update FEDORA-2014-6120:
https://admin.fedoraproject.org/updates/FEDORA-2014-6120/mariadb-galera-5.5.37-2.fc20
Fedora Security Update FEDORA-EPEL-2014-1355:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1355/mariadb-galera-5.5.37-2.el6
Red Hat Security Advisory RHSA-2014:0522:
http://rhn.redhat.com/errata/RHSA-2014-0522.html
Red Hat Security Advisory RHSA-2014:0536-1:
https://rhn.redhat.com/errata/RHSA-2014-0536.html
Red Hat Security Advisory RHSA-2014:0537-1:
https://rhn.redhat.com/errata/RHSA-2014-0537.html
Red Hat Security Advisory RHSA-2014:0702:
http://rhn.redhat.com/errata/RHSA-2014-0702.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
