DFN-CERT-2018-2110 Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die Übernahme des Systems

DFN-CERT-2018-2110 Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die Übernahme des Systems

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (17.10.18):
Neues Advisory

In den Komponenten MySQL Server, MySQL Enterprise Monitor und MySQL
Connectors von Oracle MySQL existieren verschiedene Schwachstellen, die von
einem zumeist entfernten, einfach authentifizierten Angreifer ausgenutzt
werden können, um den MySQL Server, MySQL Connectors und MySQL Enterprise
Monitor zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu
manipulieren, Informationen auszuspähen sowie die Anwendung MySQL Server
komplett zu übernehmen. Die Schwachstelle CVE-2018-3258 betrifft nur die
Komponente MySQL Connectors und ermöglicht einem entfernten, einfach
authentifizierten Angreifer die Übernahme der Komponente. Die Schwachstellen
CVE-2018-11776, CVE-2018-8014 und CVE-2018-1258 betreffen die Komponente
MySQL Enterprise Monitor und ermöglichen einem entfernten, nicht
authentifizierten Angreifer ebenfalls die Übernahme der Komponente.

Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen
und stellt zur Behebung Oracle MySQL Server in den Versionen 5.5.62, 5.6.42,
5.7.24 und 8.0.13 als Sicherheitsupdates in Aussicht. Für die Komponente
MySQL Connector stellt Oracle das Release 8.0.13 in Aussicht.

Weiterhin informiert Oracle darüber, dass das Sicherheitsupdate für
CVE-2016-9840 auch die Schwachstellen CVE-2016-9840, CVE-2016-9841 und
CVE-2016-9842, das Sicherheitsupdate für CVE-2018-11039 auch die
Schwachstellen CVE-2018-11039, CVE-2018-11040 und CVE-2018-1257 und das
Sicherheitsupdate für CVE-2018-1304 auch die Schwachstellen CVE-2018-1305,
CVE-2018-8034 und CVE-2018-8037 adressieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2110]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben