Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle MySQL
Betroffene Plattformen:
Windows
Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen
Code mit den Rechten des betroffenen Dienstes auszuführen oder auf alle
Daten zugreifen auf die der Server Zugriff hat.
Patch:
Oracle Informationen MySQL Patchday October 2013
http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html#MSQL
CVE-2013-5793: Schwachstelle im MySQL Server
Eine nicht näher spezifizierte, schwierig auszunutzende Schwachstelle in
InnoDB kann zu einem Absturz führen. Ein entfernter, authentifizierter
Angreifer kann durch die Verwendung verschiedener Protokolle einen
Denial-of-Service Angriff starten.
CVE-2013-5786: Schwachstelle im MySQL Server
Eine nicht näher beschriebene Schwachstelle im MySQL Server kann zu einem
Absturz führen. Ein entfernter, authentifizierter Angreifer kann durch
Ausnutzen der Schwachstelle einen Denial-of-Service Angriff durchführen.
CVE-2013-5770: Schwachstelle im MySQL Server
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle kann zu
einem Absturz führen. Ein entfernter, authentifizierter Angreifer kann durch
die Verwendung verschiedener Protokolle einen Denial-of-Service Angriff
starten.
CVE-2013-5767: Schwachstelle im MySQL Server
Eine nicht näher beschriebene Schwachstelle im MySQL Server kann zu einem
Absturz führen. Ein entfernter, authentifizierter Angreifer kann durch
Ausnutzen der Schwachstelle einen Denial-of-Service Angriff durchführen.
CVE-2013-3839: Schwachstelle im MySQL Server
Eine nicht näher beschriebene Schwachstelle im MySQL Server kann zu einem
Absturz führen. Ein entfernter, authentifizierter Angreifer kann durch
Ausnutzen der Schwachstelle einen Denial-of-Service Angriff durchführen.
CVE-2012-2750: Schwachstelle im MySQL Server
Eine nicht näher spezifizierte Schwachstelle im MySQL Server ermöglicht es
einem entfernten, nicht authentifizierten Angreifer, beliebige Befehle im
Kontext des Servers auszuführen.
CVE-2013-5807: Schwachstelle im MySQL Server
Eine nicht näher beschriebene, schwer auszunutzende Schwachstelle im MySQL
Server kann zur vollständigen Kompromittierung des Servers führen. Ein
entfernter, authentifizierter Angreifer kann durch die Verwendung
verschiedener Protokolle den vollen Lese- und Schreib-Zugriff auf alle vom
Server aus erreichbaren Daten erhalten.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1795/
Oracle Informationen MySQL Patchday October 2013:
http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html#MSQL
Herstelleradvisory Oracle MySQL Patchday October 2013:
http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html#MSQL
Schwachstelle CVE-2012-2750 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2750
MySQL 5.5 Seite (Release Notes):
http://dev.mysql.com/doc/refman/5.5/en/news-5-5-23.html
Schwachstelle CVE-2013-3839 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3839
Schwachstelle CVE-2013-5767 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5767
Schwachstelle CVE-2013-5770 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5770
Schwachstelle CVE-2013-5786 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5786
Schwachstelle CVE-2013-5793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5793
Schwachstelle CVE-2013-5807 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5807
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
