Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (16.10.2014):
Ubuntu stellt Sicherheitsupdates für MySQL 5.5 für die Distributionen
14.04 LTS und 12.04 LTS zur Verfügung.
Version 1 (16.10.2014):
Neues Advisory
Betroffene Software:
Oracle MySQL <= 5.5.39 Oracle MySQL <= 5.6.20 Betroffene Plattformen: Apple Mac OS Apple Mac OS X Unix Unix Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts GNU/Linux Microsoft Windows Oracle Solaris Mehrere Schwachstellen in der Komponente MySQL Server von Oracle MySQL ermöglichen einem entfernten, teilweise nicht authentisierten Angreifer, beliebigen Programmcode auszuführen, Daten, auf die der MySQL Server Zugriff hat, zu lesen, zu ändern, zu löschen und hinzuzufügen, den MySQL Server und auch das Gesamtsystem auszubremsen oder zum Absturz zu bringen. Die Schwachstellen CVE-2014-6564, CVE-2014-6489 und CVE-2014-6474 gelten nur für den 5.6.x-Zweig von MySQL und die Schwachstelle CVE-2014-6520 nur für MySQL 5.5.x. Patch: Oracle Critical Patch Update Advisory - October 2014 (CPUOct2014) http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Patch:
Ubuntu Security Notice USN-2384-1
http://www.ubuntu.com/usn/usn-2384-1/
CVE-2014-6564: Schwachstelle in MySQL (SERVER:INNODB FULLTEXT SEARCH DML)
ermöglicht Denial-of-Service-Angriffe
In der MySQL Server Komponente von Oracle MySQL (Subkomponente:
SERVER:INNODB FULLTEXT SEARCH DML) existiert eine nicht näher spezifizierte
Schwachstelle. Ein entfernter, einfach authentisierter Benutzer, als
Angreifer, kann diese Schwachstelle relativ leicht ausnutzen, über
verschiedene Protokolle, um ein Hängen oder einen wiederholten Absturz von
MySQL Server zu verursachen (kompletter Denial-of-Service).
CVE-2014-6559: Schwachstelle in MySQL ermöglicht Ausspähen von Informationen
In der MySQL Server Komponente von Oracle MySQL (Subkomponente: C API SSL
CERTIFICATE HANDLING) existiert eine nicht näher spezifizierte, schwer
auszunutzende Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um unberechtigt lesenden
Zugriff auf alle von MySQL Server zugreifbaren Daten zu erlangen.
CVE-2014-6555: Schwachstelle in MySQL ermöglicht Ausführen beliebigen
Programmcodes
In der MySQL Server Komponente von Oracle MySQL (SubKomponente: SERVER:DML)
existiert eine nicht näher spezifizierte Schwachstelle. Ein entfernter,
einfach authentisierter Benutzer, als Angreifer, kann diese Schwachstelle
relativ leicht ausnutzen, über verschiedene Protokolle, um unberechtigt den
MySQL Server zu übernehmen und beliebigen Programmcode im MySQL Server
auszuführen.
CVE-2014-6551: Schwachstelle in MySQL ermöglicht Ausspähen von Informationen
In der Komponente CLIENT:MYSQLADMIN von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein lokaler, am Betriebssystem angemeldeter
Benutzer, als Angreifer, kann diese Schwachstelle relativ leicht ausnutzen,
um unberechtigt eine Teilmenge der von MySQL Server zugreifbaren Daten
auszuspähen.
CVE-2014-6530: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes
In der Komponente CLIENT:MYSQLDUMP von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des MySQL
Servers auszuführen.
CVE-2014-6520: Schwachstelle in MySQL (SERVER:DDL) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:DDL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6507: Schwachstelle in MySQL ermöglicht Manipulation und Ausspähen
von Daten sowie DoS-Angriffe
In der Komponente SERVER:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um das
MySQL System auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen. Weiterhin ist es dem Angreifer
möglich, Daten zu lesen, zu ändern, hinzuzufügen oder zu löschen, auf die
der MySQL Server Zugriff hat.
CVE-2014-6505: Schwachstelle in MySQL (SERVER:MEMORY STORAGE ENGINE)
ermöglicht Denial-of-Service-Angriffe
In der Komponente SERVER:MEMORY STORAGE ENGINE von MySQL existiert eine
nicht näher spezifizierte Schwachstelle. Ein entfernter, authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6500: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes
In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des
MySQL Servers auszuführen.
CVE-2014-6496: Schwachstelle in MySQL (CLIENT:SSL:yaSSL) ermöglicht
Denial-of-Service-Angriffe
In der Komponente CLIENT:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6495: Schwachstelle in MySQL (SERVER:SSL:yaSSL) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6494: Schwachstelle in MySQL (CLIENT:SSL:yaSSL) ermöglicht
Denial-of-Service-Angriffe
In der Komponente CLIENT:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6491: Schwachstelle in MySQL ermöglicht die Ausführung beliebigen
Programmcodes
In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um den MySQL Server zu übernehmen und beliebigen Programmcode innerhalb des
MySQL Servers auszuführen.
CVE-2014-6489: Schwachstelle in MySQL ermöglicht Manipulation von Daten und
DoS-Angriffe
In der Komponente SERVER:SP von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen. Weiterhin ist es dem Angreifer
möglich, Daten zu ändern, hinzuzufügen oder zu löschen, auf die der MySQL
Server Zugriff hat.
CVE-2014-6484: Schwachstelle in MySQL (SERVER:DML) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6478: Schwachstelle in MySQL ermöglicht Manipulation von Daten
In der Komponente SERVER:SSL:yaSSL von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle über verschiedene Protokolle ausnutzen,
um Daten zu ändern, hinzuzufügen oder zu löschen, auf die der MySQL Server
Zugriff hat.
CVE-2014-6474: Schwachstelle in MySQL (SERVER:MEMCACHED) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:MEMCACHED existiert eine nicht näher spezifizierte
Schwachstelle. Ein entfernter, authentifizierter Angreifer kann diese
Schwachstelle über Memcached ausnutzen, um den MySQL Server auszubremsen
oder zum Absturz zu bringen und so einen Denial-of-Service-Zustand zu
erreichen.
CVE-2014-6469: Schwachstelle in MySQL (SERVER:OPTIMIZER) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:OPTIMIZER existiert eine nicht näher spezifizierte
Schwachstelle. Ein entfernter, authentifizierter Angreifer kann diese
Schwachstelle über verschiedene Protokolle ausnutzen, um das MySQL System
auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6464: Schwachstelle in MySQL (SERVER:INNODB DML FOREIGN KEYS)
ermöglicht Denial-of-Service-Angriffe
In der Komponente SERVER:INNODB DML FOREIGN KEYS existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-6463: Schwachstelle in MySQL ermöglicht Denial-of-Service-Angriffe
In der Komponente SERVER:REPLICATION ROW FORMAT BINARY LOG DML existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, mehrfach
authentifizierter Angreifer kann diese Schwachstelle über verschiedene
Protokolle ausnutzen, um den MySQL Server auszubremsen oder zum Absturz zu
bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2014-4287: Schwachstelle in MySQL (SERVER:CHARACTER SETS) ermöglicht
Denial-of-Service-Angriffe
In der Komponente SERVER:CHARACTER SETS existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle über verschiedene Protokolle ausnutzen, um den
MySQL Server auszubremsen oder zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu erreichen.
CVE-2014-4274: Schwachstelle in MySQL ermöglicht Ausführen von beliebigem
Programmcode
Eine nicht näher spezifizierte Schwachstelle wurde in der MySQL Komponente
SERVER MyISAM gefunden. Ein lokal angemeldeter Benutzer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.
CVE-2014-0224: Schwachstelle in OpenSSL erlaubt Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in OpenSSL besteht in einer fehlerhaften Behandlung
bestimmter Handshakes. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um einen Man-in-the-middle-Angriff
durchzuführen und möglicherweise verschlüsselten Netzwerkverkehr
entschlüsseln und verändern.
CVE-2012-5615: Schwachstelle in MySQL ermöglicht das Ausspähen von
Informationen
In MySQL wurde eine Schwachstelle bei Verwendung des alten Mechanismus für
die Authentifizierung gefunden. Einem entfernten, nicht authentifizierten
Angreifer ist es damit möglich, Datenbank-Accounts systematisch aufzuzeigen,
da die zurückgelieferte Meldung bei existierendem Nutzer, aber falschem
Passwort, anders als ‘Access Denied’ lautet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1357/
Schwachstelle CVE-2014-0224 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
Oracle Critical Patch Update Advisory – October 2014 (CPUOct2014):
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Schwachstelle CVE-2012-5615 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5615
Schwachstelle CVE-2014-4274 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4274
Schwachstelle CVE-2014-4287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4287
Schwachstelle CVE-2014-6463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6463
Schwachstelle CVE-2014-6464 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6464
Schwachstelle CVE-2014-6469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6469
Schwachstelle CVE-2014-6474 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6474
Schwachstelle CVE-2014-6478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6478
Schwachstelle CVE-2014-6484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6484
Schwachstelle CVE-2014-6489 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6489
Schwachstelle CVE-2014-6491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6491
Schwachstelle CVE-2014-6494 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6494
Schwachstelle CVE-2014-6495 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6495
Schwachstelle CVE-2014-6496 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6496
Schwachstelle CVE-2014-6500 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6500
Schwachstelle CVE-2014-6505 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6505
Schwachstelle CVE-2014-6507 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6507
Schwachstelle CVE-2014-6520 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6520
Schwachstelle CVE-2014-6530 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6530
Schwachstelle CVE-2014-6551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6551
Schwachstelle CVE-2014-6555 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6555
Schwachstelle CVE-2014-6559 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6559
Schwachstelle CVE-2014-6564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6564
Ubuntu Security Notice USN-2384-1:
http://www.ubuntu.com/usn/usn-2384-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
