DFN-CERT-2015-0427 Oracle MySQL: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2015-0427 Oracle MySQL: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle MySQL <= 5.5.41 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Mehrere Schwachstellen ermöglichen unter anderem auch einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, das Manipulieren von Daten und Ausführen beliebigen Programmcodes sowie die Durchführung von Denial-of-Service-Angriffen. Für SUSE Linux Enterprise Software Development Kit 11 SP3, Server 11 SP3 for VMware, Server 11 SP3 und Desktop 11 SP3 stehen Sicherheitsupdates zur Verfügung. Patch: SUSE Security Update SUSE-SU-2015:0620-1 https://www.suse.com/support/update/announcement/2015/suse-su-20150620-1.html

CVE-2015-0432: Schwachstelle in MySQL Server InnoDB ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in der InnoDB-Komponente des MySQL Servers in Verbindung
mit Fremdschlüsseln (Foreign Key) löst durch nicht näher beschriebene
Netzwerkangriffe einen Systemabsturz aus. Ein entfernter, authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2015-0411: Schwachstelle in MySQL Server Sicherheit ermöglicht das
Ausführen von beliebigem Programmcode

Eine Schwachstelle in der Verschlüsselungskomponente des Sicherheitsmoduls
innerhalb des MySQL Server ermöglicht Netzwerkangriffe durch nicht näher
beschriebene Angriffsvektoren. Es ist möglich, unberechtigten Zugriff
(lesend, schreibend und löschend) auf einen Teil der Daten, auf die der
Server Zugriff hat, zu erlangen. Des weiteren ist ein lesender Zugriff auf
einen anderen Teil von Daten, die im Zugriff des Server liegen, möglich,
sowie das Herbeiführen eines teilweisen Systemausfalls. Ein entfernter,
nicht authentifizierter Angreifer kann beliebigen Programmcode ausführen.

CVE-2015-0409: Schwachstelle in MySQL Server Optimizer ermöglicht
Denial-of-Service-Angriff

Eine nicht näher beschriebene Schwachstelle in der Optimizer-Komponente des
MySQL Server führt dazu, dass durch nicht spezifizierte Netzwerkangriffe ein
Systemabsturz herbeigeführt werden kann. Ein entfernter, authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2015-0391: Schwachstelle in MySQL Server DDL ermöglicht
Denial-of-Service-Angriff

Eine nicht näher beschriebene Schwachstelle in der MySQL Server-Komponente
DDL ermöglicht Netzwerkangriffe durch verschiedene nicht näher spezifizierte
Protokolle. Ein entfernter, authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2015-0385: Schwachstelle in MySQL Server PAM ermöglicht
Denial-of-Service-Angriff

Eine nicht näher beschriebene Schwachstelle in der Server-Komponente
‘Pluggable Authentication Modules’ (PAM) ermöglicht Netzwerkangriffe unter
Verwendung verschiedener Protokolle. Ein entfernter, authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2015-0382: Schwachstelle in MySQL Server Replikation ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in der Replikations-Komponente des MySQL Server
ermöglicht durch nicht näher spezifizierte Netzwerkangriffe, einen Crash des
Servers hervorzurufen. Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen.
Es handelt sich um eine andere Schwachstelle als die in der CVE-2015-0381
beschriebene.

CVE-2015-0381: Schwachstelle in MySQL Server Replikation ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in der Replikations-Komponente des MySQL Server
ermöglicht durch nicht näher spezifizierte Netzwerkangriffe, einen
Systemabsturz des Servers hervorzurufen. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2015-0374: Schwachstelle in MySQL Server Sicherheit ermöglicht das
Ausspähen von Informationen

Eine Schwachstelle in der Zugriffsberechtigungsverwaltung des MySQL Servers
führt zu einer fehlerhaften Zuweisung von Berechtigungen auf Daten, die
durch Fremdschlüssel (Foreign Key) referenziert werden. Ein entfernter,
authentifizierter Angreifer kann unberechtigten Zugriff auf Informationen
erhalten.

CVE-2014-6568: Schwachstelle in MySQL Server InnoDB ermöglicht
Denial-of-Service-Angriff

Eine nicht näher beschriebene Schwachstelle in der Server-Komponente InnoDB
ermöglicht Netzwerkangriffe durch verschiedene Protokolle. Die
Angriffsvektoren sind von Oracle nicht näher spezifiziert worden. Ein
entfernter, authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2014-6564: Schwachstelle in MySQL (SERVER:INNODB FULLTEXT SEARCH DML)
ermöglicht Denial-of-Service-Angriffe

In der MySQL Server Komponente von Oracle MySQL (Subkomponente:
SERVER:INNODB FULLTEXT SEARCH DML) existiert eine nicht näher spezifizierte
Schwachstelle. Ein entfernter, einfach authentisierter Benutzer, als
Angreifer, kann diese Schwachstelle relativ leicht ausnutzen, über
verschiedene Protokolle, um ein Hängen oder einen wiederholten Absturz von
MySQL Server zu verursachen (kompletter Denial-of-Service).

CVE-2014-6559: Schwachstelle in MySQL ermöglicht Ausspähen von Informationen

In der MySQL Server Komponente von Oracle MySQL (Subkomponente: C API SSL
CERTIFICATE HANDLING) existiert eine nicht näher spezifizierte, schwer
auszunutzende Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um unberechtigt lesenden
Zugriff auf alle von MySQL Server zugreifbaren Daten zu erlangen.

CVE-2014-6555: Schwachstelle in MySQL ermöglicht Ausführen beliebigen
Programmcodes

In der MySQL Server Komponente von Oracle MySQL (SubKomponente: SERVER:DML)
existiert eine nicht näher spezifizierte Schwachstelle. Ein entfernter,
einfach authentisierter Benutzer, als Angreifer, kann diese Schwachstelle
relativ leicht ausnutzen, über verschiedene Protokolle, um unberechtigt den
MySQL Server zu übernehmen und beliebigen Programmcode im MySQL Server
auszuführen.

CVE-2014-6551: Schwachstelle in MySQL ermöglicht Ausspähen von Informationen

In der Komponente CLIENT:MYSQLADMIN von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein lokaler, am Betriebssystem angemeldeter
Benutzer, als Angreifer, kann diese Schwachstelle relativ leicht ausnutzen,
um unberechtigt eine Teilmenge der von MySQL Server zugreifbaren Daten
auszuspähen.

CVE-2014-6530: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes

In der Komponente CLIENT:MYSQLDUMP von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des MySQL
Servers auszuführen.

CVE-2014-6520: Schwachstelle in MySQL (SERVER:DDL) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:DDL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6507: Schwachstelle in MySQL ermöglicht Manipulation und Ausspähen
von Daten sowie DoS-Angriffe

In der Komponente SERVER:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um das
MySQL System auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen. Weiterhin ist es dem Angreifer
möglich, Daten zu lesen, zu ändern, hinzuzufügen oder zu löschen, auf die
der MySQL Server Zugriff hat.

CVE-2014-6505: Schwachstelle in MySQL (SERVER:MEMORY STORAGE ENGINE)
ermöglicht Denial-of-Service-Angriffe

In der Komponente SERVER:MEMORY STORAGE ENGINE von MySQL existiert eine
nicht näher spezifizierte Schwachstelle. Ein entfernter, authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6500: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes

In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des
MySQL Servers auszuführen.

CVE-2014-6496: Schwachstelle in MySQL (CLIENT:SSL:yaSSL) ermöglicht
Denial-of-Service-Angriffe

In der Komponente CLIENT:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6495: Schwachstelle in MySQL (SERVER:SSL:yaSSL) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6494: Schwachstelle in MySQL (CLIENT:SSL:yaSSL) ermöglicht
Denial-of-Service-Angriffe

In der Komponente CLIENT:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6491: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes

In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des
MySQL Servers auszuführen.

CVE-2014-6489: Schwachstelle in MySQL ermöglicht Manipulation von Daten und
DoS-Angriffe

In der Komponente SERVER:SP von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen. Weiterhin ist es dem Angreifer
möglich, Daten zu ändern, hinzuzufügen oder zu löschen, auf die der MySQL
Server Zugriff hat.

CVE-2014-6484: Schwachstelle in MySQL (SERVER:DML) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6478: Schwachstelle in MySQL ermöglicht Manipulation von Daten

In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um Daten zu ändern, hinzuzufügen oder zu löschen, auf die der MySQL Server
Zugriff hat.

CVE-2014-6474: Schwachstelle in MySQL (SERVER:MEMCACHED) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:MEMCACHED existiert eine nicht näher spezifizierte
Schwachstelle. Ein entfernter, authentifizierter Angreifer kann diese
Schwachstelle über Memcached ausnutzen, um den MySQL Server auszubremsen
oder zum Absturz zu bringen und so einen Denial-of-Service-Zustand zu
erreichen.

CVE-2014-6469: Schwachstelle in MySQL (SERVER:OPTIMIZER) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:OPTIMIZER existiert eine nicht näher spezifizierte
Schwachstelle. Ein entfernter, authentifizierter Angreifer kann diese
Schwachstelle über verschiedene Protokolle ausnutzen, um das MySQL System
auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6464: Schwachstelle in MySQL (SERVER:INNODB DML FOREIGN KEYS)
ermöglicht Denial-of-Service-Angriffe

In der Komponente SERVER:INNODB DML FOREIGN KEYS existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-6463: Schwachstelle in MySQL ermöglicht Denial-of-Service-Angriffe

In der Komponente SERVER:REPLICATION ROW FORMAT BINARY LOG DML existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, mehrfach
authentifizierter Angreifer kann diese Schwachstelle über verschiedene
Protokolle ausnutzen, um den MySQL Server auszubremsen oder zum Absturz zu
bringen und so einen Denial-of-Service-Zustand zu erreichen.

CVE-2014-4287: Schwachstelle in MySQL (SERVER:CHARACTER SETS) ermöglicht
Denial-of-Service-Angriffe

In der Komponente SERVER:CHARACTER SETS existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.

CVE-2014-4274: Schwachstelle in MySQL ermöglicht Ausführen von beliebigem
Programmcode

Eine nicht näher spezifizierte Schwachstelle wurde in der MySQL Komponente
SERVER MyISAM gefunden. Ein lokal angemeldeter Benutzer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.

CVE-2014-0224: Schwachstelle in OpenSSL erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in OpenSSL besteht in einer fehlerhaften Behandlung
bestimmter Handshakes. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um einen Man-in-the-middle-Angriff
durchzuführen und möglicherweise verschlüsselten Netzwerkverkehr
entschlüsseln und verändern.

CVE-2012-5615: Schwachstelle in MySQL ermöglicht das Ausspähen von
Informationen

In MySQL wurde eine Schwachstelle bei Verwendung des alten Mechanismus für
die Authentifizierung gefunden. Einem entfernten, nicht authentifizierten
Angreifer ist es damit möglich, Datenbank-Accounts systematisch aufzuzeigen,
da die zurückgelieferte Meldung bei existierendem Nutzer, aber falschem
Passwort, anders als ‘Access Denied’ lautet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0427/

Schwachstelle CVE-2014-0224 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224

Schwachstelle CVE-2012-5615 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5615

Schwachstelle CVE-2014-4274 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4274

Schwachstelle CVE-2014-4287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4287

Schwachstelle CVE-2014-6463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6463

Schwachstelle CVE-2014-6464 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6464

Schwachstelle CVE-2014-6469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6469

Schwachstelle CVE-2014-6474 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6474

Schwachstelle CVE-2014-6478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6478

Schwachstelle CVE-2014-6484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6484

Schwachstelle CVE-2014-6489 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6489

Schwachstelle CVE-2014-6491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6491

Schwachstelle CVE-2014-6494 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6494

Schwachstelle CVE-2014-6495 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6495

Schwachstelle CVE-2014-6496 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6496

Schwachstelle CVE-2014-6500 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6500

Schwachstelle CVE-2014-6505 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6505

Schwachstelle CVE-2014-6507 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6507

Schwachstelle CVE-2014-6520 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6520

Schwachstelle CVE-2014-6530 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6530

Schwachstelle CVE-2014-6551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6551

Schwachstelle CVE-2014-6555 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6555

Schwachstelle CVE-2014-6559 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6559

Schwachstelle CVE-2014-6564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6564

Schwachstelle CVE-2014-6568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6568

Schwachstelle CVE-2015-0374 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0374

Schwachstelle CVE-2015-0381 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0381

Schwachstelle CVE-2015-0382 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0382

Schwachstelle CVE-2015-0385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0385

Schwachstelle CVE-2015-0391 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0391

Schwachstelle CVE-2015-0409 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0409

Schwachstelle CVE-2015-0411 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0411

Schwachstelle CVE-2015-0432 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0432

SUSE Security Update SUSE-SU-2015:0620-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150620-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben