Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle MySQL
Betroffene Plattformen:
SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4
Mehrere Schwachstellen ermöglichen einem entfernten, einfach authentisierten
Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen, das
Ausspähen von Informationen und die Manipulation von Daten. Eine weitere
Denial-of-Service-Schwachstelle kann von einem lokalen, einfach
authentisierten Angreifer ausgenutzt werden. Zur Ausnutzung der
Schwachstellen sind teilweise erweiterte Privilegien erforderlich.
Für SUSE Linux Enterprise Server, Software Development Kit und Debuginfo in
Version 11 SP4 stehen Sicherheitsupdates für ‘mysql’ zur Verfügung.
Patch:
SUSE Security Update SUSE-SU-2017:2290-1
http://lists.suse.com/pipermail/sle-security-updates/2017-August/003166.html
CVE-2017-3648: Schwachstelle in Oracle MySQL ermöglicht
Denial-of-Service-Angriff
In der Subkomponente ‘Server: Charset’ der Komponente MySQL Server von
Oracle MySQL existiert eine schwer ausnutzbare Schwachstelle. Ein
entfernter, einfach authentisierter Angreifer mit erweiterten Privilegien
kann die Schwachstelle über verschiedene Netzwerk-Protokolle ausnutzen und
die Komponente kompromittieren, wodurch dieser einen Denial-of-Service
(DoS)-Angriff durchführen kann.
CVE-2017-3641: Schwachstelle in Oracle MySQL / MariaDB ermöglicht
Denial-of-Service-Angriff
In der Subkomponente ‘Server: DML’ der Komponente MySQL Server von Oracle
MySQL / MariaDB existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, einfach authentisierter Angreifer mit erweiterten Privilegien
kann die Schwachstelle über verschiedene Netzwerk-Protokolle ausnutzen und
die Komponente kompromittieren, wodurch dieser einen Denial-of-Service
(DoS)-Angriff durchführen kann.
CVE-2017-3653: Schwachstelle in Oracle MySQL / MariaDB ermöglicht
Manipulieren von Daten
In der Subkomponente ‘Server: DLL’ der Komponente ‘MySQL Server’ von Oracle
MySQL / MariaDB existiert eine schwer ausnutzbare Schwachstelle. Ein
entfernter, einfach authentisierter Angreifer mit einfachen Privilegien kann
die Schwachstelle über verschiedene Netzwerk-Protokolle ausnutzen und MySQL
Server kompromittieren. Der Angreifer kann dadurch unerlaubt einige der über
die Komponente erreichbaren Daten ändern und löschen sowie neue erstellen.
CVE-2017-3652: Schwachstelle in Oracle MySQL ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente ‘Server: DDL’ der Komponente ‘MySQL Server’ von Oracle
MySQL existiert eine schwer ausnutzbare Schwachstelle. Ein entfernter,
einfach authentisierter Angreifer mit einfachen Privilegien kann die
Schwachstelle über verschiedene Netzwerk-Protokolle ausnutzen und MySQL
Server kompromittieren. Der Angreifer kann dadurch unerlaubt einige der über
die Komponente erreichbaren Daten ändern, lesen oder löschen sowie neue
erstellen.
CVE-2017-3651: Schwachstelle in Oracle MySQL ermöglicht Manipulieren von
Daten
In der Subkomponente ‘Client mysqldump’ der Komponente ‘MySQL Server’ von
Oracle MySQL existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, einfach authentisierter Angreifer kann die Schwachstelle über
verschiedene Netzwerk-Protokolle ausnutzen und MySQL Server kompromittieren.
Der Angreifer kann dadurch unerlaubt einige der über die Komponente
erreichbaren Daten ändern und löschen sowie neue erstellen.
CVE-2017-3636: Schwachstelle in Oracle MySQL / MariaDB ermöglicht u.a.
Denial-of-Service-Angriff
In der Subkomponente ‘Client Programs’ der Komponente ‘MySQL Server’ von
Oracle MySQL / MariaDB existiert eine leicht ausnutzbare Schwachstelle. Ein
lokaler, einfach authentisierter Angreifer, der über Zugriff auf die
Infrastruktur verfügt in der MySQL Server ausgeführt wird, kann die
Schwachstelle ausnutzen und MySQL Server kompromittieren. Der Angreifer kann
dadurch unerlaubt einige der über die Komponente erreichbaren Daten lesen,
ändern oder löschen sowie neue erstellen oder einen Denial-of-Service
(DoS)-Angriff durchführen.
CVE-2017-3635: Schwachstelle in Oracle MySQL ermöglicht
Denial-of-Service-Angriff
In der Subkomponente Connector/C der Komponente MySQL Connectors sowie der
Subkomponente C API der Komponente MySQL Server von Oracle MySQL existiert
eine schwer ausnutzbare Schwachstelle. Ein entfernter, einfach
authentisierter Angreifer mit einfache Privilegien kann die Schwachstelle
über verschiedene Netzwerk-Protokolle ausnutzen und die jeweilige Komponente
kompromittieren, um einen Denial-of-Service-Zustand von MySQL Connectors und
MySQL Server zu erreichen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1519/
Schwachstelle CVE-2017-3635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3635
Schwachstelle CVE-2017-3636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3636
Schwachstelle CVE-2017-3641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3641
Schwachstelle CVE-2017-3648 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3648
Schwachstelle CVE-2017-3651 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3651
Schwachstelle CVE-2017-3652 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3652
Schwachstelle CVE-2017-3653 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3653
SUSE Security Update SUSE-SU-2017:2290-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-August/003166.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
