DFN-CERT-2014-1489 MariaDB, Red Hat Fedora: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2014-1489 MariaDB, Red Hat Fedora: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MariaDB <= 5.5.40 Betroffene Plattformen: Red Hat Fedora 20 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, teilweise nicht authentisierter Angreifer beliebigen Programmcode auszuführen, Daten, auf die MariaDB Zugriff hat, lesen, ändern, löschen und hinzuzufügen, MariaDB und auch das Gesamtsystem bremsen oder zum Absturz zu bringen (Denial-of-Service). Red Hat behebt diese Schwachstellen für Fedora 20 durch Bereitstellung eines neuen Paketes von mariadb-galera-5.5.40-2.fc20. Patch: Fedora Security Update FEDORA-2014-14791 https://admin.fedoraproject.org/updates/FEDORA-2014-14791/mariadb-galera-5.5.40-2.fc20

CVE-2014-6551: Schwachstelle in MySQL ermöglicht Ausspähen von Informationen

In der Komponente CLIENT:MYSQLADMIN von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein lokaler, am Betriebssystem angemeldeter
Benutzer, als Angreifer, kann diese Schwachstelle relativ leicht ausnutzen,
um unberechtigt eine Teilmenge der von MySQL Server zugreifbaren Daten
auszuspähen.

CVE-2014-6530: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes

In der Komponente CLIENT:MYSQLDUMP von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des MySQL
Servers auszuführen.

CVE-2014-6520: Schwachstelle in MySQL (SERVER:DDL) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:DDL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6505: Schwachstelle in MySQL (SERVER:MEMORY STORAGE ENGINE)
ermöglicht Denial-of-Service-Angriffe

In der Komponente SERVER:MEMORY STORAGE ENGINE von MySQL existiert eine
nicht näher spezifizierte Schwachstelle. Ein entfernter, authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6495: Schwachstelle in MySQL (SERVER:SSL:yaSSL) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6484: Schwachstelle in MySQL (SERVER:DML) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6478: Schwachstelle in MySQL ermöglicht Manipulation von Daten

In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um Daten zu ändern, hinzuzufügen oder zu löschen, auf die der MySQL Server
Zugriff hat.

CVE-2014-6463: Schwachstelle in MySQL ermöglicht Denial-of-Service-Angriffe

In der Komponente SERVER:REPLICATION ROW FORMAT BINARY LOG DML existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, mehrfach
authentifizierter Angreifer kann diese Schwachstelle über verschiedene
Protokolle ausnutzen, um den MySQL Server auszubremsen oder zum Absturz zu
bringen und so einen Denial-of-Service-Zustand zu erreichen.

CVE-2014-4287: Schwachstelle in MySQL (SERVER:CHARACTER SETS) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:CHARACTER SETS existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-4274: Schwachstelle in MySQL ermöglicht Ausführen von beliebigem
Programmcode

Eine nicht näher spezifizierte Schwachstelle wurde in der MySQL Komponente
SERVER MyISAM gefunden. Ein lokal angemeldeter Benutzer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.

CVE-2012-5615: Schwachstelle in MySQL ermöglicht das Ausspähen von
Informationen

In MySQL wurde eine Schwachstelle bei Verwendung des alten Mechanismus für
die Authentifizierung gefunden. Einem entfernten, nicht authentifizierten
Angreifer ist es damit möglich, Datenbank-Accounts systematisch aufzuzeigen,
da die zurückgelieferte Meldung bei existierendem Nutzer, aber falschem
Passwort, anders als ‘Access Denied’ lautet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1489/

Schwachstelle CVE-2012-5615 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5615

Schwachstelle CVE-2014-4274 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4274

Schwachstelle CVE-2014-4287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4287

Schwachstelle CVE-2014-6463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6463

Schwachstelle CVE-2014-6478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6478

Schwachstelle CVE-2014-6484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6484

Schwachstelle CVE-2014-6495 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6495

Schwachstelle CVE-2014-6505 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6505

Schwachstelle CVE-2014-6520 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6520

Schwachstelle CVE-2014-6530 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6530

Schwachstelle CVE-2014-6551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6551

Fedora Security Update FEDORA-2014-14791:
https://admin.fedoraproject.org/updates/FEDORA-2014-14791/mariadb-galera-5.5.40-2.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben