Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle MySQL <= 5.5.45
Oracle MySQL <= 5.6.26
Betroffene Plattformen:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
In mehreren Subkomponenten der Komponenten MySQL Server und MySQL Enterprise
Monitor von Oracle MySQL sind verschiedene Schwachstellen vorhanden, die
zumeist von einem entfernten, einfach authentifizierten Angreifer ausgenutzt
werden können. Die Schwachstellen ermöglichen Informationen auszuspähen,
Daten zu manipulieren, Denial-of-Service (DoS)-Zustände auszulösen und
beliebigen Programmcode auszuführen. Eine Schwachstelle ermöglicht einem
lokalen, einfach authentifizierten Angreifer das System komplett zu
übernehmen und beliebigen Programmcode mit Administratorrechten auszuführen.
F5 Networks informiert darüber, welche F5 Produkte und Versionen von diesen
Schwachstellen betroffen sind. Unter anderem sind dies alle unterstützten
Versionen von BIG-IP PSM (10.1.0 - 10.2.4 und 11.0.0 - 11.4.1). F5 Networks
stellt für BIG-IP PSM derzeit noch keinen Patch zur Verfügung.
CVE-2015-4913: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Server Subkomponente DML von MySQL Server enthält eine nicht näher
spezifizierte, schwer auszunutzende Schwachstelle, die über mehrere
Protokolle ausgenutzt werden kann. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4905: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
In der Server Subkomponente DML von MySQL Server besteht eine einfach
auszunutzende, nicht näher spezifizierte Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4895: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriff
In der Server Subkomponente InnoDB von MySQL Server besteht eine schwer
auszunutzende, nicht näher spezifizierte Schwachstelle, die über
verschiedene Protokolle angreifbar ist. Ein entfernter, einfach
authentifizierter Angreifer kann die Schwachstelle ausnutzen und
Denial-of-Service-Angriffe durchführen.
CVE-2015-4890: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:Replication von MySQL Server enthält eine nicht
näher spezifizierte, schwer auszunutzende Schwachstelle, die über
verschiedene Protokolle angreifbar ist. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um den MySQL
Server zum Absturz zu bringen und so einen Denial-of-Service-Zustand
auszulösen.
CVE-2015-4879: Schwachstelle in MySQL Server ermöglicht Ausführen beliebigen
Programmcodes
In der Server Subkomponente DML von MySQL Server besteht eine schwer
auszunutzende, nicht näher spezifizierte Schwachstelle, die über
verschiedene Protokolle ausgenutzt werden kann. Ein entfernter, einfach
authentisierter Angreifer kann den MySQL Server übernehmen und
möglicherweise beliebigen Programmcode innerhalb des MySQL Servers
ausführen.
CVE-2015-4870: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:Parser von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4866: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:InnoDB von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über verschiedene
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4864: Schwachstelle in MySQL Server ermöglicht Manipulation von
Daten
Die Subkomponente Server:Security:Privileges von MySQL Server enthält eine
nicht näher spezifizierte, schwer auszunutzende Schwachstelle, die über
verschiedene Protokolle ausgenutzt werden kann. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
unautorisiert einige der Daten, die über MySQL Server zugreifbar sind,
einzufügen, zu verändern und zu löschen.
CVE-2015-4862: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:DML von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4861: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:InnoDB von MySQL Server enthält eine nicht näher
spezifizierte, schwer auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4858: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:DML von MySQL-Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL-Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4836: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
In der Subkomponente Server:SP von MySQL Server besteht eine schwer
auszunutzende, nicht näher spezifizierte Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, mehrfach authentisierter
Angreifer kann die Schwachstelle ausnutzen und Denial-of-Service-Angriffe
durchführen.
CVE-2015-4833: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:Partition von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4830: Schwachstelle in MySQL Server erlaubt Manipulation von SQL
Tabellen
In der Server Subkomponente Security:Privileges besteht eine einfach
auszunutzende, nicht näher beschriebene Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann durch Ausnutzen der Schwachstelle unberechtigten Zugriff
(lesend, schreibend und löschend) auf einen Teil der Daten, auf die der
Server Zugriff hat, erlangen.
CVE-2015-4826: Schwachstelle in MySQL Server ermöglicht Ausspähen von
Informationen
In der Server Subkomponente Types von MySQL Server besteht eine einfach
auszunutzende, nicht näher beschriebene Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um unautorisiert Leserechte
für einige über MySQL Server zugreifbare Daten zu erlangen.
CVE-2015-4819: Schwachstelle in MySQL Server ermöglicht Ausführen beliebigen
Programmcodes
Die Subkomponente Client programs von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle. Ein lokaler, am
Betriebssystem angemeldeter Angreifer kann diese Schwachstelle ausnutzen, um
das System vollständig zu übernehmen und somit auch beliebigen Programmcode
auszuführen. Der CVS Score ist 7.2, vorausgesetzt die Utility wurde mit
Root-Rechten gestartet, anderenfalls ist der CVS Score 4.6.
CVE-2015-4816: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:InnoDB von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4815: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:DDL von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4802: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Server:Partition von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4800: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente :Optimizer von MySQL-Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
CVE-2015-4792: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Partition von MySQL Server enthält eine sehr schwer
auszunutzende, nicht näher spezifizierte Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, mehrfach authentisierter
Angreifer kann die Schwachstelle ausnutzen und Denial-of-Service-Angriffe
durchführen.
CVE-2015-4730: Schwachstelle in MySQL Server ermöglicht
Denial-of-Service-Angriffe
Die Subkomponente Types von MySQL Server enthält eine nicht näher
spezifizierte, einfach auszunutzende Schwachstelle, die über mehrere
Protokolle angreifbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand auszulösen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1946/
Schwachstelle CVE-2015-4730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4730
Schwachstelle CVE-2015-4792 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4792
Schwachstelle CVE-2015-4800 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4800
Schwachstelle CVE-2015-4802 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4802
Schwachstelle CVE-2015-4815 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4815
Schwachstelle CVE-2015-4816 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4816
Schwachstelle CVE-2015-4819 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4819
Schwachstelle CVE-2015-4826 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4826
Schwachstelle CVE-2015-4830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4830
Schwachstelle CVE-2015-4833 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4833
Schwachstelle CVE-2015-4836 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4836
Schwachstelle CVE-2015-4858 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4858
Schwachstelle CVE-2015-4861 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4861
Schwachstelle CVE-2015-4862 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4862
Schwachstelle CVE-2015-4864 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4864
Schwachstelle CVE-2015-4866 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4866
Schwachstelle CVE-2015-4870 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4870
Schwachstelle CVE-2015-4879 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4879
Schwachstelle CVE-2015-4890 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4890
Schwachstelle CVE-2015-4895 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4895
Schwachstelle CVE-2015-4905 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4905
Schwachstelle CVE-2015-4913 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4913
F5 Networks Security Advisory sol59010802:
http://support.f5.com/kb/en-us/solutions/public/k/59/sol59010802.html?ref=rss
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
