Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (10.04.2015):
F5 Networks informiert über die Betroffenheit sämtlicher BIG-IP Protocol
Security Module (PSM)-Versionen von den Schwachstellen, mit Ausnahme der
CVE-2014-0001, die im Advisory nicht genannt wird. Für eine Reihe anderer
BIG-IP Produkte existieren unverwundbare Versionen.
Version 1 (13.02.2014):
Neues Advisory
Betroffene Software:
MariaDB <= 5.5.35
Oracle MySQL <= 5.6.14
Betroffene Plattformen:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Red Hat Enterprise Linux 6 Server
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Workstation 6
Mehrere Schwachstellen in MySQL und MariaDB ermöglichen es einem entfernten,
nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durch-
oder beliebige Befehle mit den Rechten des Dienstes auszuführen.
Patch:
Red Hat Security Advisory RHSA-2014-0164
http://rhn.redhat.com/errata/RHSA-2014-0164.html
CVE-2014-0001: Schwachstelle in MySQL Kommandozeilen Tool
Eine Schwachstelle in dem MySQL Kommandozeilen Tool bewirkt, dass eine sehr
lange Zeichenkette als Versionsangabe einen Pufferüberlauf auslösen kann und
damit einem entfernten, nicht authentifizierten Angreifer das Ausführen von
Code ermöglicht oder für einen Denial-of-Service-Angriff genutzt werden
kann.
CVE-2014-0437: Schwachstelle in MySQL Server
In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Optimizer” enthalten.
CVE-2014-0412: Schwachstelle in MySQL Server
In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “InnoDB” enthalten.
CVE-2014-0402: Schwachstelle in MySQL Server
In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Locking” enthalten.
CVE-2014-0401: Schwachstelle in MySQL Server
In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Privileges” enthalten.
CVE-2014-0393: Schwachstelle in MySQL Server
In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “InnoDB” enthalten.
CVE-2014-0386: Schwachstelle in MySQL Server
In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Optimizer” enthalten.
CVE-2013-5908: Schwachstelle in MySQL Server
In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
Komponente “Error Handling” enthalten.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0180/
Schwachstelle CVE-2013-5908 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5908
Schwachstelle CVE-2014-0386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0386
Schwachstelle CVE-2014-0393 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0393
Schwachstelle CVE-2014-0401 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0401
Schwachstelle CVE-2014-0402 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0402
Schwachstelle CVE-2014-0412 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0412
Schwachstelle CVE-2014-0437 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0437
Schwachstelle CVE-2014-0001 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0001
Red Hat Security Advisory RHSA-2014-0164:
http://rhn.redhat.com/errata/RHSA-2014-0164.html
F5 Networks Security Advisory sol16389:
http://support.f5.com/kb/en-us/solutions/public/16000/300/sol16389.html?ref=rss
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
