DFN-CERT-2013-1599 Oracle MySQL: Mehrere Schwachstellen ermöglichen schlimmstenfalls die Manipulation von Daten [Linux][SuSE]

DFN-CERT-2013-1599 Oracle MySQL: Mehrere Schwachstellen ermöglichen schlimmstenfalls die Manipulation von Daten [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle MySQL <= 5.1.69 Oracle MySQL <= 5.5.31 Oracle MySQL <= 5.6.11 openSUSE <= 11.4 Betroffene Plattformen: Linux SuSE Mehrere Schwachstellen im MySQL-Server ermöglichen einem entfernten Angreifer DoS Angriffe auszuführen und Daten zu manipulieren. Patch: Patchinformation openSUSE-SU-2013:1410-1 http://lists.opensuse.org/opensuse-updates/2013-09/msg00008.html

CVE-2013-3812: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Replication” enthalten. Betroffen sind die Versionen
5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem entfernten
Angreifer, der authentifiziert sein muss, die Verfügbarkeit teilweise zu
beeinträchtigen.

CVE-2013-3811: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

n MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “InnoDB” enthalten. Betroffen sind die Versionen 5.6.11 und
früher. Diese ermöglicht einem entfernten Angreifer, der authentifiziert
sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3810: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “XA Transactions” enthalten. Betroffen sind die Versionen 5.6.11
und früher. Diese ermöglicht einem entfernten Angreifer, der authentifiziert
sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3809: Oracle MySQL: Schwachstelle ermöglicht die Integrität
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Audit Log” enthalten. Betroffen sind die Versionen 5.5.31 und
früher, 5.6.11 und früher. Diese ermöglicht einem entfernten Angreifer, der
authentifiziert sein muss, die Integrität teilweise zu beeinträchtigen.

CVE-2013-3808: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Options” enthalten. Betroffen sind die Versionen 5.1.68
und früher, 5.5.30 und früher, 5.6.10. Diese ermöglicht einem entfernten
Angreifer, der authentifiziert sein muss, die Verfügbarkeit teilweise zu
beeinträchtigen.

CVE-2013-3807: Oracle MySQL: Schwachstelle ermöglicht die Integrität
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Privileges” enthalten. Betroffen sind die Versionen
5.6.11 und früher. Diese ermöglicht einem entfernten Angreifer, ohne
Authentifizierung, die Vertraulichkeit teilweise und die Integrität
teilweise zu beeinträchtigen.

CVE-2013-3806: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “InnoDB” enthalten. Betroffen sind die Versionen 5.6.11 und
früher. Diese ermöglicht einem entfernten Angreifer, der authentifiziert
sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3805: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Prepared Statements” enthalten. Betroffen sind die Versionen
5.5.30 und früher, 5.6.10. Diese ermöglicht einem entfernten Angreifer, der
authentifiziert sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3804: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Optimizer” enthalten. Betroffen sind die Versionen 5.1.69
und früher, 5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem
entfernten Angreifer, der authentifiziert sein muss, die Verfügbarkeit
teilweise zu beeinträchtigen.

CVE-2013-3802: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Full Text Search” enthalten. Betroffen sind die Versionen 5.1.69
und früher, 5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem
entfernten Angreifer, der authentifiziert sein muss, die Verfügbarkeit
teilweise zu beeinträchtigen.

CVE-2013-3801: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Options” enthalten. Betroffen sind die Versionen 5.5.30
und früher, 5.6.10. Diese ermöglicht einem entfernten Angreifer, der
authentifiziert sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3798: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “MemCached” enthalten. Betroffen sind die Versionen 5.6.11 und
früher. Diese ermöglicht einem entfernten Angreifer, ohne Authentifizierung,
die Integrität teilweise und die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3796: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Optimizer” enthalten. Betroffen sind die Versionen 5.6.11
und früher. Diese ermöglicht einem entfernten Angreifer, der authentifiziert
sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3795: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Data Manipulation Language” enthalten. Betroffen sind die
Versionen 5.6.11 und früher. Diese ermöglicht einem entfernten Angreifer,
der authentifiziert sein muss, die Verfügbarkeit teilweise zu
beeinträchtigen.

CVE-2013-3794: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Partition” enthalten. Betroffen sind die Versionen 5.5.30
und früher, 5.6.10. Diese ermöglicht einem entfernten Angreifer, der
authentifiziert sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-3793: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Data Manipulation Language” enthalten. Betroffen sind die
Versionen 5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem
entfernten Angreifer, der authentifiziert sein muss, die Verfügbarkeit
teilweise zu beeinträchtigen.

CVE-2013-3783: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Parser” enthalten. Betroffen sind die Versionen 5.5.31
und früher. Diese ermöglicht einem entfernten Angreifer, der authentifiziert
sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-1861: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
vollständig zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “GIS” enthalten. Betroffen sind die Versionen 5.1.69 und früher,
5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem entfernten
Angreifer, der authentifiziert sein muss, die Verfügbarkeit vollständig zu
beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1599/

Patchinformation openSUSE-SU-2013:1410-1:
http://lists.opensuse.org/opensuse-updates/2013-09/msg00008.html

Schwachstelle CVE-2013-1861 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1861

Schwachstelle CVE-2013-3783 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3783

Schwachstelle CVE-2013-3793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3793

Schwachstelle CVE-2013-3794 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3794

Schwachstelle CVE-2013-3795 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3795

Schwachstelle CVE-2013-3796 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3796

Schwachstelle CVE-2013-3798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3798

Schwachstelle CVE-2013-3801 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3801

Schwachstelle CVE-2013-3802 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3802

Schwachstelle CVE-2013-3804 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3804

Schwachstelle CVE-2013-3805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3805

Schwachstelle CVE-2013-3806 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3806

Schwachstelle CVE-2013-3807 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3807

Schwachstelle CVE-2013-3808 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3808

Schwachstelle CVE-2013-3809 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3809

Schwachstelle CVE-2013-3810 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3810

Schwachstelle CVE-2013-3811 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3811

Schwachstelle CVE-2013-3812 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3812

http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html:
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben