Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
MariaDB < 5.5.40 Oracle MySQL <= 5.5.39 Betroffene Plattformen: Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux Desktop 5 Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 7 Durch Ausnutzen dieser Schwachstellen kann ein zumeist entfernter, authentisierter Benutzer, als Angreifer, entweder beliebigen Programmcode ausführen, Daten einfügen, verändern, löschen und lesen oder Denial-of-Service-Angriffe durchführen. In den Distributionen Red Hat Software Collections 1 for RHEL 6 und RHEL7 sind auch für Mariadb Sicherheitsupdates veröffentlicht worden. Patch: Red Hat Security Advisory RHSA-2014:1859-1 https://rhn.redhat.com/errata/RHSA-2014-1859.html
Patch:
Red Hat Security Advisory RHSA-2014:1860-1
https://rhn.redhat.com/errata/RHSA-2014-1860.html
Patch:
Red Hat Security Advisory RHSA-2014:1861-1
https://rhn.redhat.com/errata/RHSA-2014-1861.html
Patch:
Red Hat Security Advisory RHSA-2014:1862-1
https://rhn.redhat.com/errata/RHSA-2014-1862.html
CVE-2014-6559: Schwachstelle in MySQL ermöglicht Ausspähen von Informationen
In der MySQL Server Komponente von Oracle MySQL (Subkomponente: C API SSL
CERTIFICATE HANDLING) existiert eine nicht näher spezifizierte, schwer
auszunutzende Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um unberechtigt lesenden
Zugriff auf alle von MySQL Server zugreifbaren Daten zu erlangen.
CVE-2014-6555: Schwachstelle in MySQL ermöglicht Ausführen beliebigen
Programmcodes
In der MySQL Server Komponente von Oracle MySQL (SubKomponente: SERVER:DML)
existiert eine nicht näher spezifizierte Schwachstelle. Ein entfernter,
einfach authentisierter Benutzer, als Angreifer, kann diese Schwachstelle
relativ leicht ausnutzen, über verschiedene Protokolle, um unberechtigt den
MySQL Server zu übernehmen und beliebigen Programmcode im MySQL Server
auszuführen.
CVE-2014-6551: Schwachstelle in MySQL ermöglicht Ausspähen von Informationen
In der Komponente CLIENT:MYSQLADMIN von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein lokaler, am Betriebssystem angemeldeter
Benutzer, als Angreifer, kann diese Schwachstelle relativ leicht ausnutzen,
um unberechtigt eine Teilmenge der von MySQL Server zugreifbaren Daten
auszuspähen.
CVE-2014-6530: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes
In der Komponente CLIENT:MYSQLDUMP von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des MySQL
Servers auszuführen.
CVE-2014-6520: Schwachstelle in MySQL (SERVER:DDL) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:DDL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6507: Schwachstelle in MySQL ermöglicht Manipulation und Ausspähen
von Daten sowie DoS-Angriffe
In der Komponente SERVER:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um das
MySQL System auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen. Weiterhin ist es dem Angreifer
möglich, Daten zu lesen, zu ändern, hinzuzufügen oder zu löschen, auf die
der MySQL Server Zugriff hat.
CVE-2014-6505: Schwachstelle in MySQL (SERVER:MEMORY STORAGE ENGINE)
ermöglicht Denial-of-Service-Angriffe
In der Komponente SERVER:MEMORY STORAGE ENGINE von MySQL existiert eine
nicht näher spezifizierte Schwachstelle. Ein entfernter, authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6484: Schwachstelle in MySQL (SERVER:DML) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6469: Schwachstelle in MySQL (SERVER:OPTIMIZER) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:OPTIMIZER existiert eine nicht näher spezifizierte
Schwachstelle. Ein entfernter, authentifizierter Angreifer kann diese
Schwachstelle über verschiedene Protokolle ausnutzen, um das MySQL System
auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6464: Schwachstelle in MySQL (SERVER:INNODB DML FOREIGN KEYS)
ermöglicht Denial-of-Service-Angriffe
In der Komponente SERVER:INNODB DML FOREIGN KEYS existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6463: Schwachstelle in MySQL ermöglicht Denial-of-Service-Angriffe
In der Komponente SERVER:REPLICATION ROW FORMAT BINARY LOG DML existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, mehrfach
authentifizierter Angreifer kann diese Schwachstelle über verschiedene
Protokolle ausnutzen, um den MySQL Server auszubremsen oder zum Absturz zu
bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2014-4287: Schwachstelle in MySQL (SERVER:CHARACTER SETS) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:CHARACTER SETS existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-4274: Schwachstelle in MySQL ermöglicht Ausführen von beliebigem
Programmcode
Eine nicht näher spezifizierte Schwachstelle wurde in der MySQL Komponente
SERVER MyISAM gefunden. Ein lokal angemeldeter Benutzer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.
CVE-2014-4260: Schwachstelle in MySQL Server: SRCHAR erlaubt
Denial-of-Service und Manipulieren von Daten
Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRFTS) besteht bis Version 5.5.37 und bis Version 5.6.17.
Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert den MySQL Server zum Hängen oder wiederholten Absturz zu
bringen (Denial-of-Service) oder bestimmte für MySQL Server zugreifbare
Daten einzufügen, zu ändern oder zu löschen.
CVE-2014-4258: Schwachstelle in MySQL Server: SRINFOSC erlaubt Übernahme des
MySQL Servers
Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SRINFOSC) besteht bis Version 5.5.37 und bis Version 5.6.17.
Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle, über verschiedene Protokolle, relativ leicht ausnutzen, um
unautorisiert den MySQL Server zu übernehmen und in der Folge beliebigen
Programmcode auf dem MySQL Server auszuführen.
CVE-2014-4243: Schwachstelle in MySQL Server: ENFED erlaubt
Denial-of-Service
Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: ENFED) besteht bis Version 5.5.35 und bis Version 5.6.15.
Diese schwerer auszunutzende Schwachstelle erlaubt einem entfernten,
mehrfach authentisierten Benutzer, als Angreifer, über verschiedene
Protokolle, unautorisiert den MySQL Server zum Hängen oder wiederholten
Absturz zu bringen (Denial-of-Service).
CVE-2014-4207: Schwachstelle in MySQL Server: SROPTZR erlaubt
Denial-of-Service
Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: SROPTZR) besteht bis Version 5.5.37. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).
CVE-2014-2494: Schwachstelle in MySQL Server: ENARC erlaubt
Denial-of-Service
Eine Schwachstelle in der MySQL Server-Komponente von Oracle MySQL
(Subkomponente: ENARC) besteht bis Version 5.5.37. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle, über
verschiedene Protokolle, relativ leicht ausnutzen, um unautorisiert den
MySQL Server zum Hängen oder wiederholten Absturz zu bringen
(Denial-of-Service).
CVE-2012-5615: Schwachstelle in MySQL ermöglicht das Ausspähen von
Informationen
In MySQL wurde eine Schwachstelle bei Verwendung des alten Mechanismus für
die Authentifizierung gefunden. Einem entfernten, nicht authentifizierten
Angreifer ist es damit möglich, Datenbank-Accounts systematisch aufzuzeigen,
da die zurückgelieferte Meldung bei existierendem Nutzer, aber falschem
Passwort, anders als ‘Access Denied’ lautet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1500/
Schwachstelle CVE-2014-2494 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2494
Schwachstelle CVE-2014-4207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4207
Schwachstelle CVE-2014-4243 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4243
Schwachstelle CVE-2014-4258 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4258
Schwachstelle CVE-2014-4260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4260
Schwachstelle CVE-2012-5615 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5615
Schwachstelle CVE-2014-4274 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4274
Schwachstelle CVE-2014-4287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4287
Schwachstelle CVE-2014-6463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6463
Schwachstelle CVE-2014-6464 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6464
Schwachstelle CVE-2014-6469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6469
Schwachstelle CVE-2014-6484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6484
Schwachstelle CVE-2014-6505 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6505
Schwachstelle CVE-2014-6507 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6507
Schwachstelle CVE-2014-6520 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6520
Schwachstelle CVE-2014-6530 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6530
Schwachstelle CVE-2014-6551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6551
Schwachstelle CVE-2014-6555 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6555
Schwachstelle CVE-2014-6559 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6559
Red Hat Security Advisory RHSA-2014:1859-1:
https://rhn.redhat.com/errata/RHSA-2014-1859.html
Red Hat Security Advisory RHSA-2014:1860-1:
https://rhn.redhat.com/errata/RHSA-2014-1860.html
Red Hat Security Advisory RHSA-2014:1861-1:
https://rhn.redhat.com/errata/RHSA-2014-1861.html
Red Hat Security Advisory RHSA-2014:1862-1:
https://rhn.redhat.com/errata/RHSA-2014-1862.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
