DFN-CERT-2017-0959 MariaDB: Mehrere Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe [Linux][Fedora]

DFN-CERT-2017-0959 MariaDB: Mehrere Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MariaDB < 10.1.23 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Mehrere Schwachstellen in MariaDB ermöglichen einem entfernten, einfach authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und die Manipulation von Dateien. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer das Ausspähen von Informationen. Die referenzierten Schwachstellen wurden vom Hersteller für diesen Versionszweig in MariaDB 10.1.23 behoben. Für Fedora 24, 25 und 26 stehen Sicherheitsupdates auf die aktuelle Version MariaDB 10.1.24 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-93035f94d5 (Fedora 26, mariadb-10.1.24-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-93035f94d5

Patch:

Fedora Security Update FEDORA-2017-ae00b2a30a (Fedora 25,
mariadb-10.1.24-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ae00b2a30a

Patch:

Fedora Security Update FEDORA-2017-d5e7e65f30 (Fedora 24,
mariadb-10.1.24-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5e7e65f30

Patch:

MariaDB 10.1.23 Release Notes

https://mariadb.com/kb/en/mariadb/mariadb-10123-release-notes/

CVE-2017-3464: Schwachstelle in Oracle MySQL ermöglicht Manipulation von
Daten

In der Subkomponente Server: DDL des MySQL Servers von Oracle MySQL
existiert eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über mehrere Protokolle
ausnutzen, um einige der über MySQL Server erreichbaren Daten zu
aktualisieren, einzufügen oder zu löschen.

CVE-2017-3456: Schwachstelle in Oracle MySQL ermöglicht
Denial-of-Service-Angriff

In der Subkomponente Server: DML des MySQL Servers von Oracle MySQL
existiert eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
erhöhten Privilegien kann diese Schwachstelle über mehrere Protokolle
ausnutzen, um den MySQL Server in einen vollständigen Denial-of-Service
(DoS)-Zustand zu versetzen.

CVE-2017-3453: Schwachstelle in Oracle MySQL ermöglicht
Denial-of-Service-Angriff

In der Subkomponente Server: Optimizer des MySQL Servers von Oracle MySQL
existiert eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über mehrere Protokolle
ausnutzen, um den MySQL Server in einen vollständigen Denial-of-Service
(DoS)-Zustand zu versetzen.

CVE-2017-3309: Schwachstelle in Oracle MySQL ermöglicht
Denial-of-Service-Angriff

In der Subkomponente Server: Optimizer des MySQL Servers von Oracle MySQL
existiert eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über mehrere Protokolle
ausnutzen, um den MySQL Server in einen vollständigen Denial-of-Service
(DoS)-Zustand zu versetzen.

CVE-2017-3308: Schwachstelle in Oracle MySQL ermöglicht
Denial-of-Service-Angriff

In der Subkomponente Server: DML des MySQL Servers von Oracle MySQL
existiert eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über mehrere Protokolle
ausnutzen, um den MySQL Server in einen vollständigen Denial-of-Service
(DoS)-Zustand zu versetzen.

CVE-2017-3313: Schwachstelle in Oracle MySQL ermöglicht Ausspähen von
Informationen

Die Subkomponente Server: MyISAM des MySQL Server von Oracle MySQL enthält
eine nicht näher beschriebene, schwierig auszunutzende Schwachstelle. Ein
lokaler, gegenüber dem Datenbanksystem einfach authentifizierter Angreifer
mit niedrigen Privilegien kann diese Schwachstelle dazu ausnutzen, um nicht
autorisierten Zugriff auf kritische Daten oder sogar alle Daten des MySQL
Server zu erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0959/

Schwachstelle CVE-2017-3313 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3313

Schwachstelle CVE-2017-3308 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3308

Schwachstelle CVE-2017-3309 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3309

Schwachstelle CVE-2017-3453 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3453

Schwachstelle CVE-2017-3456 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3456

Schwachstelle CVE-2017-3464 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3464

Fedora Security Update FEDORA-2017-93035f94d5 (Fedora 26,
mariadb-10.1.24-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-93035f94d5

Fedora Security Update FEDORA-2017-ae00b2a30a (Fedora 25,
mariadb-10.1.24-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ae00b2a30a

Fedora Security Update FEDORA-2017-d5e7e65f30 (Fedora 24,
mariadb-10.1.24-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5e7e65f30

MariaDB 10.1.23 Release Notes:
https://mariadb.com/kb/en/mariadb/mariadb-10123-release-notes/

MariaDB 10.1.24 Release Notes:
https://mariadb.com/kb/en/mariadb/mariadb-10124-release-notes/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben