Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (02.05.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates für ‘community-mysql’ auf
Version 8.0.16 im Status ‘testing’ bereit. Ein weiteres Sicherheitsupdate
für Fedora 28 steht im Status ‘pending’ zur Verfügung. Hier ist die
Zielversion MySQL 5.7.26.
Version 2 (29.04.19):
Canonical stellt für die Distributionen Ubuntu 19.04, 18.10, 18.04 LTS und
16.04 LTS Sicherheitsupdates auf die MySQL Version 5.7.26 zur Verfügung.
Version 1 (17.04.19):
Neues Advisory

In den Komponenten MySQL Server, MySQL Enterprise Backup und MySQL
Connectors von Oracle MySQL existieren verschiedene Schwachstellen. Ein
Großteil der jetzt veröffentlichten Schwachstellen können von einem
entfernten, einfach authentifizierten Angreifer ausgenutzt werden, um den
MySQL Server und MySQL Connectors zum Absturz zu bringen (Denial-of-Service,
DoS). In einem Fall ist die Durchführung eines Denial-of-Service-Angriffs
auch einem lokalen, nicht authentifizierten Angreifer möglich. Mehrere
weitere Schwachstellen erlauben einem entfernten, nicht authentifizierten
Angreifer Informationen auszuspähen, die Schwachstelle CVE-2018-0734 ist im
Kontext der Komponente Enterprise Backup (OpenSSL) von MySQL Enterprise
Backup nur lokal für das Ausspähen von Informationen ausnutzbar. Die
Schwachstelle CVE-2019-2692 betrifft nur die Komponente MySQL Connector/J
und ermöglicht einem lokalen, einfach authentifizierten Angreifer die
Übernahme der Komponente.

Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen
und stellt zur Behebung Oracle MySQL Server in den Versionen 5.6.44, 5.7.26
und 8.0.16 und jeweils höheren als Sicherheitsupdates in Aussicht. Für die
Komponente MySQL Connector stellt Oracle die Releases 5.3.13 und 8.0.16 und
höhere in Aussicht. Weiterhin informiert Oracle darüber, dass das
Sicherheitsupdate für CVE-2018-0734 auch die Schwachstelle CVE-2018-5407
adressiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0775]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (29.04.19):
Canonical stellt für die Distributionen Ubuntu 19.04, 18.10, 18.04 LTS und
16.04 LTS Sicherheitsupdates auf die MySQL Version 5.7.26 zur Verfügung.
Version 1 (17.04.19):
Neues Advisory

In den Komponenten MySQL Server, MySQL Enterprise Backup und MySQL
Connectors von Oracle MySQL existieren verschiedene Schwachstellen. Ein
Großteil der jetzt veröffentlichten Schwachstellen können von einem
entfernten, einfach authentifizierten Angreifer ausgenutzt werden, um den
MySQL Server und MySQL Connectors zum Absturz zu bringen (Denial-of-Service,
DoS). In einem Fall ist die Durchführung eines Denial-of-Service-Angriffs
auch einem lokalen, nicht authentifizierten Angreifer möglich. Mehrere
weitere Schwachstellen erlauben einem entfernten, nicht authentifizierten
Angreifer Informationen auszuspähen, die Schwachstelle CVE-2018-0734 ist im
Kontext der Komponente Enterprise Backup (OpenSSL) von MySQL Enterprise
Backup nur lokal für das Ausspähen von Informationen ausnutzbar. Die
Schwachstelle CVE-2019-2692 betrifft nur die Komponente MySQL Connector/J
und ermöglicht einem lokalen, einfach authentifizierten Angreifer die
Übernahme der Komponente.

Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen
und stellt zur Behebung Oracle MySQL Server in den Versionen 5.6.44, 5.7.26
und 8.0.16 und jeweils höheren als Sicherheitsupdates in Aussicht. Für die
Komponente MySQL Connector stellt Oracle die Releases 5.3.13 und 8.0.16 und
höhere in Aussicht. Weiterhin informiert Oracle darüber, dass das
Sicherheitsupdate für CVE-2018-0734 auch die Schwachstelle CVE-2018-5407
adressiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0775]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html