Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 12 (01.02.21):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘mariadb-10.1’
in Version 10.1.48-0+deb9u1 bereit, um die beiden diesen Versionszweig
betreffenden Schwachstellen CVE-2020-14765 und CVE-2020-14812 zu beheben.
Version 11 (15.12.20):
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für ‘mariadb’ auf
Version 10.4.17 bereit, womit zusätzlich die in der Vorgängerversion
behobene Schwachstelle CVE-2020-15180 adressiert wird.
Version 10 (07.12.20):
Für SUSE OpenStack Cloud 7 steht ein Sicherheitsupdate auf die MariaDB
Version 10.2.36 GA zur Behebung der aufgeführten Schwachstellen zur
Verfügung. Zusätzlich zu den referenzierten Schwachstellen werden mit dem
Update auch Sicherheitsanfälligkeiten in vorhergehenden MariaDB Versionen
und eine im MariaDB Connector/C adressiert, die zumeist auch für Denial-
of-Service (DoS)-Angriffe ausgenutzt werden können. Eine der zusätzlich
behobenen Schwachstellen (CVE-2020-15180) erlaubt allerdings das Ausführen
beliebigen Programmcodes und eine andere (MariaDB Connector/C,
CVE-2020-13249) eventuell die komplette Kompromittierung der betroffenen
Komponente.
Version 9 (03.12.20):
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für ‘mariadb’ auf
Version 10.2.36 GA bereit, womit zusätzlich die in der Vorgängerversion
behobene Schwachstelle CVE-2020-15180 adressiert wird. Hierbei wird
gleichzeitig ‘mariadb-connector-c’ auf die aktuelle Version 3.1.11
gebracht.
Version 8 (01.12.20):
Für SUSE Linux Enterprise Module for Server Applications 15 SP2 steht ein
Sicherheitsupdate für ‘mariadb’ auf Version 10.4.17 bereit, womit
zusätzlich die in der Vorgängerversion behobene Schwachstelle
CVE-2020-15180 adressiert wird.
Version 7 (30.11.20):
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für ‘mariadb’ auf
Version 10.2.36 GA bereit, womit zusätzlich die in der Vorgängerversion
behobene Schwachstelle CVE-2020-15180 adressiert wird. Hierbei wird
gleichzeitig ‘mariadb-connector-c’ auf die aktuelle Version 3.1.11
gebracht.
Version 6 (25.11.20):
Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS,
Module for Server Applications 15 SP1 und 15 SP2, Module for Basesystem 15
SP1 und 15 SP2 sowie High Performance Computing 15 ESPOS / LTSS stehen
Sicherheitsupdates für ‘mariadb’ auf Version 10.2.36 GA bereit, womit
zusätzlich die in der Vorgängerversion behobene Schwachstelle
CVE-2020-15180 adressiert wird. Hierbei wird gleichzeitig ‘mariadb-
connector-c’ auf die aktuelle Version 3.1.11 gebracht.
Version 5 (24.11.20):
Für SUSE OpenStack Cloud 9, Crowbar 9 sowie die SUSE Linux Enterprise
Produkte Server for SAP 12 SP4 und Server 12 SP4 LTSS und 12 SP5 stehen
Sicherheitsupdates für ‘mariadb’ auf Version 10.2.36 GA bereit, womit
zusätzlich die in der Vorgängerversion behobene Schwachstelle
CVE-2020-15180 adressiert wird, welche das Ausführen beliebigen
Programmcodes aus der Ferne ermöglicht. Hierbei wird gleichzeitig
‘mariadb-connector-c’ auf die aktuelle Version 3.1.11 gebracht.
Version 4 (13.11.20):
Mit den MariaDB Versionen 10.5.7, 10.4.16, 10.3.26 und 10.2.35 wurde eine
Regression (InnoDB Data Corruption Bug) eingeführt. Der Hersteller hat
MariaDB 10.5.8, 10.4.17, 10.3.27 und 10.2.36 veröffentlicht, um diese
Regression zu beheben. Für Fedora 31, 32 und 33 Modular stehen Pakete in
den Versionen 10.5.8, 10.4.17 und 10.3.27 im Status ‘testing’ bereit, um
diese Regression zu beheben. Für Fedora 33 Modular steht das Paket für die
Version 10.5.8 noch aus, da das Paket in den Status ‘unpushed’
übergegangen ist. Die Referenzen der vorhergehenden Pakete, die durch
dieses Update in den Status ‘obsolete’ übergegangen sind, wurden entfernt.
Version 3 (09.11.20):
Für Fedora Modular 31, 32 und 33 stehen Sicherheitsupdates für MariaDB auf
die Versionen 10.3.26 und 10.5.7 im Status ‘testing’ bereit, um die
Schwachstellen zu beheben. Das Paket für Fedora 31 ersetzt das
Sicherheitsupdate FEDORA-MODULAR-2020-9a0c4877b1, das in den Status
‘obsolete’ übergegangen ist. Die Referenz wurde deshalb hier entfernt.
Version 2 (06.11.20):
Für Fedora 31 Modular steht ein Sicherheitsupdate bereit, mit dem MariaDB
auf Version 10.3.26 aktualisiert wird. Darüber hinaus stehen
Sicherheitsupdates für Fedora 31, 32 und 33 Modular auf Version 10.4.16
zur Verfügung. MariaDB wird für Fedora 31, 32 und 33 selbst ebenfalls auf
Version 10.3.26 (Fedora 31) beziehungsweise 10.4.16 aktualisiert. Hierbei
werden gleichzeitig ‘galera’ und ‘mariadb-connector-c’ auf aktuelle
Versionen gebracht. Alle Updates befinden sich im Status ‘testing’.
Version 1 (04.11.20):
Neues Advisory
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen
Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der
Schwachstellen sind unterschiedliche Privilegien erforderlich.
Die MariaDB Foundation veröffentlicht MariaDB 10.5.7, 10.4.16, 10.3.26,
10.2.35 und 10.1.48 als Sicherheitsupdates zur Behebung der Schwachstellen.
MariaDB 10.1.48 adressiert dabei nur CVE-2020-14812 und CVE-2020-14765.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-2380]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
