UPDATE: DFN-CERT-2014-0911 Oracle MySQL Server: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][SuSE][Unix][FreeBSD][Solaris][Windows]

UPDATE: DFN-CERT-2014-0911 Oracle MySQL Server: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][SuSE][Unix][FreeBSD][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (29.08.2014):
SUSE hat für die Versionen Server, Server für VMware, Desktop und Software
Development Kit für SUSE Linux Enterprise 11 SP3 Sicherheitsupdates
bereitgestellt.
Version 1 (16.07.2014):
Neues Advisory

Betroffene Software:

Oracle MySQL <= 5.5.37 Oracle MySQL <= 5.6.17 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise Apple Mac OS FreeBSD GNU/Linux Microsoft Windows SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Oracle Solaris Durch Ausnutzen dieser Schwachstellen kann ein zumeist entfernter, authentisierter Benutzer, als Angreifer, entweder beliebigen Programmcode ausführen, Daten einfügen, verändern, löschen und lesen oder Denial-of-Service-Angriffe durchführen. Patch: Oracle Critical Patch Update Advisory - July 2014 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Patch:

SUSE Security Update: SUSE-SU-2014:1072-1

http://lists.opensuse.org/opensuse-security-announce/2014-08/msg00012.html

CVE-2014-4260: Schwachstelle in MySQL Server: SRCHAR erlaubt
Denial-of-Service und Manipulieren von Daten

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRFTS) besteht bis Version 5.5.37 und bis Version 5.6.17.
Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert den MySQL Server zum Hängen oder wiederholten Absturz zu
bringen (Denial-of-Service) oder bestimmte für MySQL Server zugreifbare
Daten einzufügen, zu ändern oder zu löschen.

CVE-2014-4258: Schwachstelle in MySQL Server: SRINFOSC erlaubt Übernahme des
MySQL Servers

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRINFOSC) besteht bis Version 5.5.37 und bis Version 5.6.17.
Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert den MySQL Server zu übernehmen und in der Folge beliebigen
Programmcode auf dem MySQL Server auszuführen.

CVE-2014-4243: Schwachstelle in MySQL Server: ENFED erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: ENFED) besteht bis Version 5.5.35 und bis Version 5.6.15.
Diese schwerer auszunutzende Schwachstelle erlaubt einem entfernten,
mehrfach authentisierten Benutzer, als Angreifer, über verschiedene
Protokolle, unautorisiert den MySQL Server zum Hängen oder wiederholten
Absturz zu bringen (Denial-of-Service).

CVE-2014-4240: Schwachstelle in MySQL Server: SRREP erlaubt Manipulation von
Daten

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRREP) besteht bis Version 5.6.17. Ein lokaler, lediglich am
Betriebssystem angemeldeter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert bestimmte für MySQL Server zugreifbare Daten einzufügen, zu
ändern oder zu löschen, bzw. eine Teilmenge dieser Daten zu lesen.

CVE-2014-4238: Schwachstelle in MySQL Server: SROPTZR erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SROPTZR) besteht bis Version 5.6.17. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-4233: Schwachstelle in MySQL Server: SRREP erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRREP) besteht bis Version 5.6.17. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-4214: Schwachstelle in MySQL Server: SRSP erlaubt Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRSP) besteht bis Version 5.6.17. Ein entfernter, mehrfach
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-4207: Schwachstelle in MySQL Server: SROPTZR erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SROPTZR) besteht bis Version 5.5.37. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-2494: Schwachstelle in MySQL Server: ENARC erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: ENARC) besteht bis Version 5.5.37. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-2484: Schwachstelle in MySQL Server: SRFTS erlaubt Übernahme des
MySQL Servers

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRFTS) besteht bis Version 5.6.17. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zu übernehmen und in der Folge beliebigen Programmcode auf dem
MySQL Server auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0911/

Oracle Critical Patch Update Advisory – July 2014:
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Schwachstelle CVE-2014-2484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2484

Schwachstelle CVE-2014-2494 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2494

Schwachstelle CVE-2014-4207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4207

Schwachstelle CVE-2014-4214 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4214

Schwachstelle CVE-2014-4233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4233

Schwachstelle CVE-2014-4238 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4238

Schwachstelle CVE-2014-4240 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4240

Schwachstelle CVE-2014-4243 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4243

Schwachstelle CVE-2014-4258 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4258

Schwachstelle CVE-2014-4260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4260

SUSE Security Update: SUSE-SU-2014:1072-1:
http://lists.opensuse.org/opensuse-security-announce/2014-08/msg00012.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben