DFN-CERT-2018-1402 Oracle MySQL: Mehrere Schwachstellen ermöglichen u.a. die komplette Übernahme von MySQL Server

DFN-CERT-2018-1402 Oracle MySQL: Mehrere Schwachstellen ermöglichen u.a. die komplette Übernahme von MySQL Server

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (18.07.18):
Neues Advisory

In den Komponenten MySQL Server, MySQL Enterprise Monitor, MySQL Workbench
und MySQL Connectors existieren verschiedene Schwachstellen, die von einem
zumeist entfernten, einfach authentisierten Angreifer ausgenutzt werden
können, um den MySQL Server, MySQL Enterprise Monitor, MySQL Workbench bzw.
MySQL Connector zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu
manipulieren und Informationen auszuspähen. Die Schwachstelle CVE-2017-5645
betrifft die Komponente MySQL Enterprise Monitor und ermöglicht dem
entfernten, nicht authentisierten Angreifer die komplette Übernahme der
Komponente.

Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen
und stellt zur Behebung Oracle MySQL Server in den Versionen 5.5.61, 5.6.41,
5.7.23 und 8.0.12 als Sicherheitsupdates in Aussicht. Für die Komponente
MySQL Connector stellt Oracle die Releases 5.3.11 und 8.0.12 in Aussicht.

Die Schwachstelle CVE-2018-0739 betrifft alle MySQL Komponenten (Server,
Enterprise Monitor, Workbench und Connectors). Der Fix für diese
Schwachstelle adressiert zusätzlich die Schwachstellen CVE-2017-3737 und
CVE-2017-3738, deren Auswirkungen in Bezug auf Oracle MySQL Komponenten
nicht näher spezifiziert werden.

Die Schwachstelle CVE-2017-5645 betrifft nur die Komponente MySQL Enterprise
Monitor. Derzeit steht noch kein offizielles Release für die Komponente zur
Behebung der Schwachstellen bereit.

Die Schwachstellen CVE-2017-0379 und CVE-2018-2598 betreffen nur die
Komponente MySQL Workbench. Für den Versionszweig 8.0.X steht ein
Sicherheitsupdate auf Version 8.0.12 bereit und behebt die Schwachstelle
CVE-2017-0379. Dieses Release behebt zusätzlich die Schwachstelle
CVE-2017-9526 deren Auswirkung in Bezug auf die Komponente nicht näher
spezifiziert wird. Für den Versionszweig 6.3.X steht bislang kein Release
zur Behebung der Schwachstelle CVE-2018-2598 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1402]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben