Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle MySQL <= 5.5.43 Oracle MySQL <= 5.6.24 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Oracle Solaris Mehrere Schwachstellen in der Komponente MySQL Server von Oracle MySQL ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes, Denial-of-Service-Angriffe sowie beliebige Daten, auf die der MySQL Server Zugriff hat, zu lesen, zu ändern oder zu löschen. Die Schwachstellen CVE-2015-2611, CVE-2015-2617, CVE-2015-2639, CVE-2015-2641, CVE-2015-2661, CVE-2015-4756, CVE-2015-4761, CVE-2015-4767, CVE-2015-4769, CVE-2015-4771, CVE-2015-4772 gelten ausschließlich für Versionen aus dem Zweig 5.6.x. Patch: Oracle Critical Patch Update Juli 2015 http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
CVE-2015-4772: Schwachstelle in MySQL (Server :Partition) ermöglicht
Denial-of-Service
In der Komponente Server:Partition von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen und den MySQL Server in einen
Denial-of-Service-Zustand versetzen.
CVE-2015-4771: Schwachstelle in MySQL (Server :RBR) ermöglicht
Denial-of-Service
In der Komponente Server:RBR von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-4769: Schwachstelle in MySQL (Server :Firewall) ermöglicht
Denial-of-Service
In der Komponente Server: Firewall von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen partiellen Denial-of-Service-Zustand zu
bewirken.
CVE-2015-4767: Schwachstelle in MySQL (Server :Firewall) ermöglicht
Denial-of-Service
Eine Schwachstelle in der Serverkomponente Firewall kann dazu führen, dass
ein entfernter, mehrfach authentifizierter Angreifer den MySQL Server zum
Absturz bringt und dadurch einen Denial-of-Service-Zustand herbeiführt.
CVE-2015-4761: Schwachstelle in MySQL (Server :Memcached) ermöglicht
Denial-of-Service
In der Komponente Server:Memcached von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu bewirken.
CVE-2015-4757: Schwachstelle in MySQL (Server :Optimizer) ermöglicht
Denial-of-Service
In der Komponente Server:Optimizer von MySQL existiert eine nicht näher
spezifizierte und schwierig auszunutzende Schwachstelle. Ein entfernter,
einfach authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
den MySQL Server zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu verursachen.
CVE-2015-4756: Schwachstelle in MySQL (Server : InnoDB) ermöglicht
Denial-of-Service
Die Komponente Server : InnoDB von MySQL enthält eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so in einen Denial-of-Service-Zustand zu bringen.
CVE-2015-4752: Schwachstelle in MySQL (Server : I_S) ermöglicht
Denial-of-Service
In der Komponente Server : I_S von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-4737: Schwachstelle in MySQL (Server : Pluggable Auth) ermöglicht
das Ausspähen von Informationen
In der Komponente Server : Pluggable Auth von MySQL Server existiert eine
nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um
unberechtigt eine Teilmenge der von MySQL Server zugreifbaren Daten
auszuspähen.
CVE-2015-2661: Schwachstelle in MySQL (Server : Client) ermöglicht
Denial-of-Service
In der Komponente Server : Client von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein lokaler, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um den MySQL Server zum Absturz zu
bringen und so einen partiellen Denial-of-Service-Zustand zu erreichen.
CVE-2015-2648: Schwachstelle in MySQL (Server : DML) ermöglicht
Denial-of-Service
In der Komponente Server : DML von MySQL Server existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-2643: Schwachstelle in MySQL (Server :Optimizer) ermöglicht
Denial-of-Service
In der Komponente Server : Optimizer von MySQL Server existiert eine nicht
näher spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu verursachen.
CVE-2015-2641: Schwachstelle in MySQL Server (Security : Privileges)
ermöglicht Denial-of-Service
In der Komponente Server : Security : Privileges von MySQL Server existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um den MySQL
Server zum Absturz zu bringen und so einen Denial-of-Service-Zustand zu
erreichen.
CVE-2015-2639: Schwachstelle in MySQL Server (Server : Security : Firewall)
ermöglicht Manipulation von Daten
In der Komponente Server : Security : Firewall von MySQL Server existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle über verschiedene
Protokolle ausnutzen, um Daten zu ändern, hinzuzufügen oder zu löschen, auf
die der MySQL Server Zugriff hat.
CVE-2015-2620: Schwachstelle in MySQL Server (Server : Security :
Privileges) ermöglicht Ausspähen von Informationen
In der Komponente Server : Security : Privileges von MySQL Server existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um auf dem
MySQL Server unautorisierte Lesezugriffe zu erhalten und damit Informationen
auszuspähen.
CVE-2015-2617: Schwachstelle in MySQL (Server : Partition) ermöglicht
Ausführen beliebigen Programmcodes
In der Komponente Server:Partition von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zu
übernehmen und beliebigen Programmcode innerhalb des MySQL Servers
auszuführen.
CVE-2015-2611: Schwachstelle in MySQL (Server :DML) ermöglicht
Denial-of-Service
In der Komponente Server:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-2582: Schwachstelle in MySQL (Server : GIS) ermöglicht
Denial-of-Service
In der Komponente Server:GIS von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server in einen
Denial-of-Service-Zustand zu versetzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1071/
Schwachstelle CVE-2015-0443 (Oracle):
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2368792.xml
Oracle Critical Patch Update Juli 2015:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
Schwachstelle CVE-2015-2582 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2582
Schwachstelle CVE-2015-2611 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2611
Schwachstelle CVE-2015-2617 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2617
Schwachstelle CVE-2015-2620 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2620
Schwachstelle CVE-2015-2639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2639
Schwachstelle CVE-2015-2641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2641
Schwachstelle CVE-2015-2643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2643
Schwachstelle CVE-2015-2648 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2648
Schwachstelle CVE-2015-2661 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2661
Schwachstelle CVE-2015-4737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4737
Schwachstelle CVE-2015-4752 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4752
Schwachstelle CVE-2015-4756 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4756
Schwachstelle CVE-2015-4757 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4757
Schwachstelle CVE-2015-4761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4761
Schwachstelle CVE-2015-4767 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4767
Schwachstelle CVE-2015-4769 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4769
Schwachstelle CVE-2015-4771 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4771
Schwachstelle CVE-2015-4772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4772
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
