Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (03.08.2015):
Für die Distribution Fedora 23 steht ein Sicherheitsupdate auf die
Community MySQL Version 5.6.26 zur Verfügung.
Version 5 (03.08.2015):
Für die Distributionen Fedora 21 und 22 stehen Sicherheitsupdates auf die
Community MySQL Version 5.6.26 zur Verfügung.
Version 4 (22.07.2015):
Für die Distributionen Fedora 21 und 22 stehen Sicherheitsupdates auf die
Community MySQL Version 5.6.25 zur Verfügung.
Version 3 (22.07.2015):
Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10
stehen Sicherheitsupdates auf die MySQL Version 5.5.44 bereit. Für Ubuntu
15.04 erfolgt eine Aktualisierung auf MySQL 5.6.25.
Version 2 (20.07.2015):
Die für MySQL 5.5 relevanten Schwachstellen werden für die Debian
Distributionen Wheezy und Jessie durch Sicherheitsupdates auf die neue
Version 5.5.44 adressiert.
Version 1 (15.07.2015):
Neues Advisory
Betroffene Software:
Oracle MySQL <= 5.5.43 Oracle MySQL <= 5.6.24 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Canonical Ubuntu Linux 15.04 Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie GNU/Linux Microsoft Windows Oracle Solaris Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Mehrere Schwachstellen in der Komponente MySQL Server von Oracle MySQL ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes, Denial-of-Service-Angriffe sowie beliebige Daten, auf die der MySQL Server Zugriff hat, zu lesen, zu ändern oder zu löschen. Die Schwachstellen CVE-2015-2611, CVE-2015-2617, CVE-2015-2639, CVE-2015-2641, CVE-2015-2661, CVE-2015-4756, CVE-2015-4761, CVE-2015-4767, CVE-2015-4769, CVE-2015-4771, CVE-2015-4772 gelten ausschließlich für Versionen aus dem Zweig 5.6.x. Patch: Oracle Critical Patch Update Juli 2015 http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
Patch:
Debian Security Advisory DSA-3308-1
https://www.debian.org/security/2015/dsa-3308
Patch:
Fedora Security Update FEDORA-2015-11936
https://admin.fedoraproject.org/updates/FEDORA-2015-11936/community-mysql-5.6.25-1.fc21
Patch:
Fedora Security Update FEDORA-2015-11946
https://admin.fedoraproject.org/updates/FEDORA-2015-11946/community-mysql-5.6.25-1.fc22
Patch:
Ubuntu Security Notice USN-2674-1
http://www.ubuntu.com/usn/usn-2674-1/
Patch:
Fedora Security Update FEDORA-2015-12465
https://admin.fedoraproject.org/updates/FEDORA-2015-12465/community-mysql-5.6.26-1.fc23
Patch:
Fedora Security Update FEDORA-2015-12544
https://admin.fedoraproject.org/updates/FEDORA-2015-12544/community-mysql-5.6.26-1.fc22
Patch:
Fedora Security Update FEDORA-2015-12570
https://admin.fedoraproject.org/updates/FEDORA-2015-12570/community-mysql-5.6.26-1.fc21
CVE-2015-4772: Schwachstelle in MySQL (Server :Partition) ermöglicht
Denial-of-Service
In der Komponente Server:Partition von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen und den MySQL Server in einen
Denial-of-Service-Zustand versetzen.
CVE-2015-4771: Schwachstelle in MySQL (Server :RBR) ermöglicht
Denial-of-Service
In der Komponente Server:RBR von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-4769: Schwachstelle in MySQL (Server :Firewall) ermöglicht
Denial-of-Service
In der Komponente Server: Firewall von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen partiellen Denial-of-Service-Zustand zu
bewirken.
CVE-2015-4767: Schwachstelle in MySQL (Server :Firewall) ermöglicht
Denial-of-Service
Eine Schwachstelle in der Serverkomponente Firewall kann dazu führen, dass
ein entfernter, mehrfach authentifizierter Angreifer den MySQL Server zum
Absturz bringt und dadurch einen Denial-of-Service-Zustand herbeiführt.
CVE-2015-4761: Schwachstelle in MySQL (Server :Memcached) ermöglicht
Denial-of-Service
In der Komponente Server:Memcached von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu bewirken.
CVE-2015-4757: Schwachstelle in MySQL (Server :Optimizer) ermöglicht
Denial-of-Service
In der Komponente Server:Optimizer von MySQL existiert eine nicht näher
spezifizierte und schwierig auszunutzende Schwachstelle. Ein entfernter,
einfach authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
den MySQL Server zum Absturz zu bringen und so einen
Denial-of-Service-Zustand zu verursachen.
CVE-2015-4756: Schwachstelle in MySQL (Server : InnoDB) ermöglicht
Denial-of-Service
Die Komponente Server : InnoDB von MySQL enthält eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so in einen Denial-of-Service-Zustand zu bringen.
CVE-2015-4752: Schwachstelle in MySQL (Server : I_S) ermöglicht
Denial-of-Service
In der Komponente Server : I_S von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-4737: Schwachstelle in MySQL (Server : Pluggable Auth) ermöglicht
das Ausspähen von Informationen
In der Komponente Server : Pluggable Auth von MySQL Server existiert eine
nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um
unberechtigt eine Teilmenge der von MySQL Server zugreifbaren Daten
auszuspähen.
CVE-2015-2661: Schwachstelle in MySQL (Server : Client) ermöglicht
Denial-of-Service
In der Komponente Server : Client von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein lokaler, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um den MySQL Server zum Absturz zu
bringen und so einen partiellen Denial-of-Service-Zustand zu erreichen.
CVE-2015-2648: Schwachstelle in MySQL (Server : DML) ermöglicht
Denial-of-Service
In der Komponente Server : DML von MySQL Server existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-2643: Schwachstelle in MySQL (Server :Optimizer) ermöglicht
Denial-of-Service
In der Komponente Server : Optimizer von MySQL Server existiert eine nicht
näher spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu verursachen.
CVE-2015-2641: Schwachstelle in MySQL Server (Security : Privileges)
ermöglicht Denial-of-Service
In der Komponente Server : Security : Privileges von MySQL Server existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um den MySQL
Server zum Absturz zu bringen und so einen Denial-of-Service-Zustand zu
erreichen.
CVE-2015-2639: Schwachstelle in MySQL Server (Server : Security : Firewall)
ermöglicht Manipulation von Daten
In der Komponente Server : Security : Firewall von MySQL Server existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle über verschiedene
Protokolle ausnutzen, um Daten zu ändern, hinzuzufügen oder zu löschen, auf
die der MySQL Server Zugriff hat.
CVE-2015-2620: Schwachstelle in MySQL Server (Server : Security :
Privileges) ermöglicht Ausspähen von Informationen
In der Komponente Server : Security : Privileges von MySQL Server existiert
eine nicht näher spezifizierte Schwachstelle. Ein entfernter, einfach
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um auf dem
MySQL Server unautorisierte Lesezugriffe zu erhalten und damit Informationen
auszuspähen.
CVE-2015-2617: Schwachstelle in MySQL (Server : Partition) ermöglicht
Ausführen beliebigen Programmcodes
In der Komponente Server:Partition von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zu
übernehmen und beliebigen Programmcode innerhalb des MySQL Servers
auszuführen.
CVE-2015-2611: Schwachstelle in MySQL (Server :DML) ermöglicht
Denial-of-Service
In der Komponente Server:DML von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server zum
Absturz zu bringen und so einen Denial-of-Service-Zustand zu erreichen.
CVE-2015-2582: Schwachstelle in MySQL (Server : GIS) ermöglicht
Denial-of-Service
In der Komponente Server:GIS von MySQL existiert eine nicht näher
spezifizierte Schwachstelle. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um den MySQL Server in einen
Denial-of-Service-Zustand zu versetzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1071/
Oracle Critical Patch Update Juli 2015:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
Schwachstelle CVE-2015-2582 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2582
Schwachstelle CVE-2015-2611 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2611
Schwachstelle CVE-2015-2617 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2617
Schwachstelle CVE-2015-2620 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2620
Schwachstelle CVE-2015-2639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2639
Schwachstelle CVE-2015-2641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2641
Schwachstelle CVE-2015-2643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2643
Schwachstelle CVE-2015-2648 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2648
Schwachstelle CVE-2015-2661 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2661
Schwachstelle CVE-2015-4737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4737
Schwachstelle CVE-2015-4752 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4752
Schwachstelle CVE-2015-4756 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4756
Schwachstelle CVE-2015-4757 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4757
Schwachstelle CVE-2015-4761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4761
Schwachstelle CVE-2015-4767 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4767
Schwachstelle CVE-2015-4769 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4769
Schwachstelle CVE-2015-4771 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4771
Schwachstelle CVE-2015-4772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4772
Debian Security Advisory DSA-3308-1:
https://www.debian.org/security/2015/dsa-3308
Fedora Security Update FEDORA-2015-11936:
https://admin.fedoraproject.org/updates/FEDORA-2015-11936/community-mysql-5.6.25-1.fc21
Fedora Security Update FEDORA-2015-11946:
https://admin.fedoraproject.org/updates/FEDORA-2015-11946/community-mysql-5.6.25-1.fc22
Ubuntu Security Notice USN-2674-1:
http://www.ubuntu.com/usn/usn-2674-1/
Fedora Security Update FEDORA-2015-12465:
https://admin.fedoraproject.org/updates/FEDORA-2015-12465/community-mysql-5.6.26-1.fc23
Fedora Security Update FEDORA-2015-12544:
https://admin.fedoraproject.org/updates/FEDORA-2015-12544/community-mysql-5.6.26-1.fc22
Fedora Security Update FEDORA-2015-12570:
https://admin.fedoraproject.org/updates/FEDORA-2015-12570/community-mysql-5.6.26-1.fc21
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
