DFN-CERT-2013-0259 Mehrere Schwachstellen in MySQL [Linux][SuSE]

DFN-CERT-2013-0259 Mehrere Schwachstellen in MySQL [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket MySQL

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP2
SUSE Linux Enterprise Server 11 SP2 für VMware
SUSE Linux Enterprise Server 11 SP2
SUSE Linux Enterprise Desktop 11 SP2

Schwachstellen in MySQL erlauben einem privilegierten Angreifer
schlimmstenfalls die Rechte eines Admin-Nutzers zu erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2012-5613: Schwachstelle in MySQL

In MySQL ist ein Fehler bei der Behandlung von Datenbanknutzer-Privilegien
vorhanden. Einem Angreifer mit ‘FILE’-Privilegien ist es dadurch
schlimmstenfalls möglich, seine Rechte auf die des Admin-Benutzers zu
erhöhen.

CVE-2012-5615: Schwachstelle in MySQL

In MySQL wurde eine Schwachstelle bei Verwendung des alten Mechanismus für
die Authentifizierung gefunden. Einem entfernten Angreifer ist es damit
möglich, Datenbank-Accounts systematisch aufzuzeigen, da die
zurückgelieferte Meldung bei existierendem Nutzer, aber falschem Passwort,
anders als ‘Access Denied’ lautet.

CVE-2012-5612: Schwachstelle im MySQL-Server

In MySQL-Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Parser” enthalten. Betroffen sind die Versionen 5.5.28
und früher. Diese ermöglicht einem entfernten Angreifer, der authentifiziert
sein muss, die Vertraulichkeit vollständig, die Integrität vollständig und
die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2012-5611: Buffer-Overflow-Schwachstelle in MySQL

In zahlreichen Versionen von MySQL, u.a. in 5.5.x und 5.1.x, sowie in
MariaDB, ist ein Buffer-Overflow auf dem Stack enthalten. Dies ermöglicht
einem entfernten, authentifizierten Angreifer beliebige Befehle mittels
eines überlangen ‘GRANT FILE’-Befehls zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0259/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce

Schwachstelle CVE-2012-5611:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5611

Schwachstelle CVE-2012-5612:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5612

Schwachstelle CVE-2012-5613:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5613

Schwachstelle CVE-2012-5615:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5615

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben