DFN-CERT-2013-2099 Oracle MySQL: Mehrere Schwachstellen ermöglichen Verfügbarkeit und Integrität zu beeinträchtigen [Linux][Debian]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle MySQL <= 5.5.31 Betroffene Plattformen: Debian Linux 7.2 Wheezy Mehrere Schwachstellen in verschiedenen Komponenten des MySQL-Server erlauben ungewollten Lese- und Schreib-Zugriff auf beliebige Dateien sowie die Verfügbarkeit zu beeinträchtigen. Ein entfernter, authentifizierter Angreifer kann hierdurch sicherheitskritische Informationen erlangen, die Integrität der Daten beeinträchtigen oder einen Denial-of-Service auslösen. Patch: Debian Security Advisory DSA-2818 http://www.debian.org/security/2013/dsa-2818

CVE-2013-2162: Oracle MySQL: Schwachstelle ermöglicht sicherheitskritische
Informationen zu erlangen

Im Post-Installations-Skript des MySQL Server 5.5
(mysql-server-5.5.postinst) kann durch eine Race-Condition eine
Konfigurationsdatei mit falschen Zugriffsrechten erstellt werden. Betroffen
sind die Versionen 5.5.31 und früher. Ein lokaler Angreifer kann diese
Schwachstelle ausnutzen um Zugriff auf sicherheitskritische Informationen zu
erlangen.

CVE-2013-3839: Schwachstelle im MySQL Server

Eine nicht näher beschriebene Schwachstelle im MySQL Server und im MySQL
Community Server kann zu einem Absturz führen. Ein entfernter,
authentifizierter Angreifer kann durch Ausnutzen der Schwachstelle einen
Denial-of-Service-Angriff durchführen.

CVE-2013-3812: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Replication” enthalten. Betroffen sind die Versionen
5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem entfernten
Angreifer, der authentifiziert sein muss, die Verfügbarkeit teilweise zu
beeinträchtigen.

CVE-2013-3809: Oracle MySQL: Schwachstelle ermöglicht die Manipulation von
Datenbanken

In MySQL Server ist eine Schwachstelle in der Komponente “Audit Log”
enthalten. Die Schwachstelle ermöglicht es einem entfernten,
authentifizierten Benutzer als Angreifer, die Integrität der Datenbank durch
Updates, Einfügungen oder Löschungen zu beeinträchtigen.

CVE-2013-3804: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Optimizer” enthalten. Betroffen sind die Versionen 5.1.69
und früher, 5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem
entfernten Angreifer, der authentifiziert sein muss, die Verfügbarkeit
teilweise zu beeinträchtigen.

CVE-2013-3802: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Full Text Search” enthalten. Betroffen sind die Versionen 5.1.69
und früher, 5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem
entfernten Angreifer, der authentifiziert sein muss, die Verfügbarkeit
teilweise zu beeinträchtigen.

CVE-2013-3793: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Data Manipulation Language” enthalten. Betroffen sind die
Versionen 5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem
entfernten Angreifer, der authentifiziert sein muss, die Verfügbarkeit
teilweise zu beeinträchtigen.

CVE-2013-3783: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
teilweise zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Server Parser” enthalten. Betroffen sind die Versionen 5.5.31
und früher. Diese ermöglicht einem entfernten Angreifer, der authentifiziert
sein muss, die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-1861: Oracle MySQL: Schwachstelle ermöglicht die Verfügbarkeit
vollständig zu beeinträchtigen.

In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “GIS” enthalten. Betroffen sind die Versionen 5.1.69 und früher,
5.5.31 und früher, 5.6.11 und früher. Diese ermöglicht einem entfernten
Angreifer, der authentifiziert sein muss, die Verfügbarkeit vollständig zu
beeinträchtigen.

CVE-2013-5807: Schwachstelle im MySQL Server

Eine Schwachstelle im MySQL Server und im MySQL Community Server kann zur
vollständigen Kompromittierung des Servers führen. Ein entfernter,
authentifizierter Benutzer kann als Angreifer durch die Verwendung
verschiedener Protokolle den vollen Lese- und Schreib-Zugriff auf alle vom
Server aus erreichbaren Daten erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2099/

Schwachstelle CVE-2013-1861 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1861

Schwachstelle CVE-2013-3783 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3783

Schwachstelle CVE-2013-3793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3793

Schwachstelle CVE-2013-3809 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3809

Schwachstelle CVE-2013-3802 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3802

Schwachstelle CVE-2013-3804 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3804

Schwachstelle CVE-2013-3812 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3812

Herstelleradvisory Oracle MySQL Patchday October 2013:
http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html#MSQL

Schwachstelle CVE-2013-3839 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3839

Schwachstelle CVE-2013-5807 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5807