DFN-CERT-2018-0101 Oracle MySQL, MySQL Community Server: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

DFN-CERT-2018-0101 Oracle MySQL, MySQL Community Server: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 6 (28.02.18):
Für Fedora 26 steht ein Sicherheitsupdate auf die MySQL Community Server
Version 5.7.21 bereit, um die in der Version 5.7.20 existierenden
Schwachstellen zu adressieren.
Version 5 (26.01.18):
Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates
auf die MySQL Community Server Version 5.6.39 zur Verfügung, mit denen 15
der aufgeführten Schwachstellen behoben werden.
Version 4 (25.01.18):
Canonical stellt für die Distribution Ubuntu 12.04 LTS das
korrespondierende Sicherheitsupdate für das Paket ‘mysql-5.5’ auf MySQL
5.5.59 zur Behebung der betreffenden Schwachstellen bereit.
Version 3 (23.01.18):
Canonical stellt für die Distribution Ubuntu 14.04 LTS ein
Sicherheitsupdate für das Paket ‘mysql-5.5’ auf MySQL 5.5.59 und für
Ubuntu 16.04 LTS und Ubuntu 17.10 für das Paket ‘mysql-5.7’ auf MySQL
5.7.21 zur Behebung der entsprechenden Schwachstellen bereit. Für Fedora
27 steht ebenfalls ein Sicherheitsupdate auf MySQL 5.7.21 in Form des
Paketes ‘community-mysql-5.7.21-1.fc27’ bereit, welches sich derzeit noch
im Status ‘pending’ befindet.
Version 2 (19.01.18):
Für Debian Jessie (oldstable) steht ein Sicherheitsupdate für MySQL auf
Version 5.5.59 zur Verfügung, mit dem die Schwachstellen CVE-2018-2562,
CVE-2018-2622, CVE-2018-2640, CVE-2018-2665 und CVE-2018-2668 behoben
werden.
Version 1 (17.01.18):
Neues Advisory

In den Komponenten MySQL Server und MySQL Connectors (Connector/Net) von
Oracle MySQL existieren verschiedene Schwachstellen, die von einem
entfernten, auch nicht authentifizierten Angreifer ausgenutzt werden können,
um den MySQL Server und MySQL Connectors zum Absturz zu bringen (Denial-of-
Service, DoS), Daten zu manipulieren und Informationen auszuspähen. Zwei
dieser Schwachstellen können aus der Ferne (über eine Netzwerkverbindung)
und ohne Authentisierung ausgenutzt werden.

Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen
und stellt Sicherheitsupdates zur Verfügung. Der MySQL Community Server
steht in den Versionen 5.5.59, 5.6.39 und 5.7.21 bereit. Die aktuellen
Versionen von MySQL Connector/Net sind 6.9.10 und 6.10.5.

Neben den Schwachstellen in der Software selbst werden auch mehrere
Schwachstellen in den verwendeten Produkten Apache Tomcat (eingesetzt in
MySQL Enterprise Monitor) und OpenSSL (MySQL Server, MySQL Enterprise
Monitor und Connector/ODBC) behoben, die einem entfernten, nicht
authentisierten Angreifer das Ausführen beliebigen Programmcodes und das
Umgehen von Sicherheitsvorkehrungen bzw. das Ausspähen von Informationen
ermöglichen. Connector/ODBC ist in der aktuellen Version 5.3.9 von zwei der
Schwachstellen in OpenSSL betroffen. MySQL Enterprise Monitor ist in den
Versionen bis einschließlich 3.3.6.3293, 3.4.4.4226 und 4.0.0.5135 von den
Schwachstellen betroffen. Die aktuellen Versionen von MySQL Enterprise
Monitor sind 3.3.7, 3.4.5 und 4.0.2.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0101]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben