DFN-CERT-2015-0551 Oracle MySQL: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][Solaris][Windows]

DFN-CERT-2015-0551 Oracle MySQL: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle MySQL <= 5.5.42 Oracle MySQL <= 5.6.23 Oracle MySQL Connector/J <= 5.1.34 Oracle MySQL Enterprise Monitor <= 2.3.19 Oracle MySQL Enterprise Monitor <= 3.0.18 Oracle MySQL Installer <= 1.5.1 Betroffene Plattformen: GNU/Linux Microsoft Windows Oracle Solaris Mehrere Schwachstellen ermöglichen unter anderem auch einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, das Manipulieren von Daten und Ausführen beliebigen Programmcodes sowie die Durchführung von Denial-of-Service-Angriffen. Patch: Oracle Critical Patch Update April 2015 http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

CVE-2015-2576: Schwachstelle in den MySQL Utilities ermöglicht Manipulation
von Daten

In der Installationskomponente der Oracle MySQL Utilities befindet sich eine
nicht näher beschriebene Schwachstelle. Ein lokaler, nicht authentifizierter
Angreifer kann diese Schwachstelle dazu ausnutzen, einen Teil der den
Utilities zugänglichen Daten zu manipulieren.

CVE-2015-2575: Schwachstelle im MySQL Connector ermöglicht das Ausspähen von
Informationen und die Manipulation von Daten

In der Connector/J Komponente des Oracle MySQL Connector befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, um einen Teil der dem Connector
zugänglichen Daten einzusehen oder zu manipulieren.

CVE-2015-2573: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der DDL Komponente des Oracle MySQL Servers befindet sich eine nicht
näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer kann
diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-2571: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Optimizer Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-2568: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der XA Komponente des Oracle MySQL Servers befindet sich eine nicht näher
beschriebene Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren
oder zum Absturz zu bringen (Denial-of-Service).

CVE-2015-2567: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Security:Privileges Komponente des Oracle MySQL Servers befindet sich
eine nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter
Angreifer kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren
oder zum Absturz zu bringen (Denial-of-Service).

CVE-2015-2566: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der DML Komponente des Oracle MySQL Servers befindet sich eine nicht
näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer kann
diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0511: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Server:SP Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0508: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der InnoDB Komponente des Oracle MySQL Servers befindet sich eine nicht
näher beschriebene Schwachstelle.

Ein am Server angemeldeter Angreifer kann diese Schwachstelle dazu
ausnutzen, den Server zum Einfrieren oder zum Absturz zu bringen
(Denial-of-Service).

CVE-2015-0507: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Memcached Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0506: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der InnoDB Komponente des Oracle MySQL Servers befindet sich eine nicht
näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer kann
diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0505: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der DDL Komponente des Oracle MySQL Servers befindet sich eine nicht
näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer kann
diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0503: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Partition Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle.

Ein am Server angemeldeter Angreifer kann diese Schwachstelle dazu
ausnutzen, den Server zum Einfrieren oder zum Absturz zu bringen
(Denial-of-Service).

CVE-2015-0501: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Compiling Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, das Betriebssystem zum Einfrieren
oder den Server zum Absturz zu bringen (Denial-of-Service).

CVE-2015-0500: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Information Schema Komponente des Oracle MySQL Servers befindet sich
eine nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter
Angreifer kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren
oder zum Absturz zu bringen (Denial-of-Service).

CVE-2015-0499: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Federated Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0498: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Replication Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0441: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Security:Encryption Komponente des Oracle MySQL Servers befindet sich
eine nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter
Angreifer kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren
oder zum Absturz zu bringen (Denial-of-Service).

CVE-2015-0439: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der InnoDB Komponente des Oracle MySQL Servers befindet sich eine nicht
näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer kann
diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0438: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Partition Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0433: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der InnoDB:DML. Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0423: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der Optimizer Komponente des Oracle MySQL Servers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum
Absturz zu bringen (Denial-of-Service).

CVE-2015-0405: Schwachstelle im MySQL Server ermöglicht
Denial-of-Service-Angriff

In der XA Komponente des Oracle MySQL Servers befindet sich eine nicht näher
beschriebene Schwachstelle. Ein am Server angemeldeter Angreifer kann diese
Schwachstelle dazu ausnutzen, den Server zum Einfrieren oder zum Absturz zu
bringen (Denial-of-Service).

CVE-2014-0112: Schwachstelle im Apache Struts Parameters Interceptor

Aufgrund einer unvollständigen Korrektur von CVE-2014-0094 ist im Parameters
Interceptor von Apache Struts immer noch ein Zugang zur getClass Methode
möglich, was wiederum die Manipulation des ClassLoaders erlaubt.

Ein entfernter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen
Code mit den Rechten der Apache Struts Anwendung auszuführen.

CVE-2014-3569: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

Die ssl23_get_client_hello Funktion in s23_srvr.c von OpenSSL 1.0.1j
verarbeitet Anfragen, die nicht unterstützte Protokolle nutzen, nicht
korrekt. Ein entfernter, nicht authentifizierter Angreifer kann dies für
einen Denial-of-Service-Angriff (NULL pointer Dereference und Daemon Crash)
ausnutzen, mit Hilfe eines unerwarteten Handshakes. Dies wird durch einen
SSLv3-Handshake an eine no-ssl3-Anwendung mit einer bestimmten
Fehlerbehandlung demonstriert. Hinweis: Dieses Problem wurde erst nach dem
Fix von CVE-2014-3568 relevant.

CVE-2014-7809: Schwachstelle in Apache Struts ermöglicht
Cross-Site-Request-Forgery-Angriff

Eine Schwachstelle in Apache Struts bezüglich Token, die in Formularen
verwendet werden, führt dazu, dass sich aus einem bekannten Token der Wert
des nächsten Token, der für eine sichere Übermittlung eines Formulares
verwendet wird, voraussagen lässt. Dadurch lässt sich ein Formular fälschen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0551/

Schwachstelle CVE-2014-0112 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0112

Schwachstelle CVE-2014-7809 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7809

Schwachstelle CVE-2014-3569 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3569

Oracle Critical Patch Update April 2015:
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

Schwachstelle CVE-2015-0405 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0405

Schwachstelle CVE-2015-0423 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0423

Schwachstelle CVE-2015-0433 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0433

Schwachstelle CVE-2015-0438 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0438

Schwachstelle CVE-2015-0439 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0439

Schwachstelle CVE-2015-0441 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0441

Schwachstelle CVE-2015-0498 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0498

Schwachstelle CVE-2015-0499 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0499

Schwachstelle CVE-2015-0500 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0500

Schwachstelle CVE-2015-0501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0501

Schwachstelle CVE-2015-0503 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0503

Schwachstelle CVE-2015-0505 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0505

Schwachstelle CVE-2015-0506 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0506

Schwachstelle CVE-2015-0507 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0507

Schwachstelle CVE-2015-0508 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0508

Schwachstelle CVE-2015-0511 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0511

Schwachstelle CVE-2015-2566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2566

Schwachstelle CVE-2015-2567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2567

Schwachstelle CVE-2015-2568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2568

Schwachstelle CVE-2015-2571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2571

Schwachstelle CVE-2015-2573 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2573

Schwachstelle CVE-2015-2575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2575

Schwachstelle CVE-2015-2576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2576

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben