DFN-CERT-2014-0911 Oracle MySQL Server: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][Unix][FreeBSD][Solaris][Windows]

DFN-CERT-2014-0911 Oracle MySQL Server: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][Unix][FreeBSD][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle MySQL <= 5.5.37 Oracle MySQL <= 5.6.17 Betroffene Plattformen: Apple Mac OS FreeBSD GNU/Linux Microsoft Windows Oracle Solaris Durch Ausnutzen dieser Schwachstellen kann ein zumeist entfernter, authentisierter Benutzer, als Angreifer, entweder beliebigen Programmcode ausführen, Daten einfügen, verändern, löschen und lesen oder Denial-of-Service-Angriffe durchführen. Patch: Oracle Critical Patch Update Advisory - July 2014 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

CVE-2014-4260: Schwachstelle in MySQL Server: SRCHAR erlaubt
Denial-of-Service und Manipulieren von Daten

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRFTS) besteht bis Version 5.5.37 und bis Version 5.6.17.
Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert den MySQL Server zum Hängen oder wiederholten Absturz zu
bringen (Denial-of-Service) oder bestimmte für MySQL Server zugreifbare
Daten einzufügen, zu ändern oder zu löschen.

CVE-2014-4258: Schwachstelle in MySQL Server: SRINFOSC erlaubt Übernahme des
MySQL Servers

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRINFOSC) besteht bis Version 5.5.37 und bis Version 5.6.17.
Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert den MySQL Server zu übernehmen und in der Folge beliebigen
Programmcode auf dem MySQL Server auszuführen.

CVE-2014-4243: Schwachstelle in MySQL Server: ENFED erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: ENFED) besteht bis Version 5.5.35 und bis Version 5.6.15.
Diese schwerer auszunutzende Schwachstelle erlaubt einem entfernten,
mehrfach authentisierten Benutzer, als Angreifer, über verschiedene
Protokolle, unautorisiert den MySQL Server zum Hängen oder wiederholten
Absturz zu bringen (Denial-of-Service).

CVE-2014-4240: Schwachstelle in MySQL Server: SRREP erlaubt Manipulation von
Daten

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRREP) besteht bis Version 5.6.17. Ein lokaler, lediglich am
Betriebssystem angemeldeter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert bestimmte für MySQL Server zugreifbare Daten einzufügen, zu
ändern oder zu löschen, bzw. eine Teilmenge dieser Daten zu lesen.

CVE-2014-4238: Schwachstelle in MySQL Server: SROPTZR erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SROPTZR) besteht bis Version 5.6.17. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-4233: Schwachstelle in MySQL Server: SRREP erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRREP) besteht bis Version 5.6.17. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-4214: Schwachstelle in MySQL Server: SRSP erlaubt Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRSP) besteht bis Version 5.6.17. Ein entfernter, mehrfach
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-4207: Schwachstelle in MySQL Server: SROPTZR erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SROPTZR) besteht bis Version 5.5.37. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-2494: Schwachstelle in MySQL Server: ENARC erlaubt
Denial-of-Service

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: ENARC) besteht bis Version 5.5.37. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).

CVE-2014-2484: Schwachstelle in MySQL Server: SRFTS erlaubt Übernahme des
MySQL Servers

Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRFTS) besteht bis Version 5.6.17. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zu übernehmen und in der Folge beliebigen Programmcode auf dem
MySQL Server auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0911/

Oracle Critical Patch Update Advisory – July 2014:
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Schwachstelle CVE-2014-2484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2484

Schwachstelle CVE-2014-2494 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2494

Schwachstelle CVE-2014-4207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4207

Schwachstelle CVE-2014-4214 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4214

Schwachstelle CVE-2014-4233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4233

Schwachstelle CVE-2014-4238 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4238

Schwachstelle CVE-2014-4240 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4240

Schwachstelle CVE-2014-4243 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4243

Schwachstelle CVE-2014-4258 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4258

Schwachstelle CVE-2014-4260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4260

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben