Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 5 (24.08.18):
Für Fedora 27 und 28 stehen Sicherheitsupdates in Form aktualisierter
‘mysql-community-server’-Pakete auf die Version 5.7.23 im Status ‘testing’
bereit, um die Schwachstellen zu beheben.
Version 4 (20.08.18):
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server
und Debuginfo jeweils in Version 11 SP4 stehen Sicherheitsupdates für das
Paket ‘mysql’ auf Version 5.5.61 bereit, welche die 5 Schwachstellen
CVE-2018-3058, CVE-2018-3063, CVE-2018-3066, CVE-2018-3070 und
CVE-2018-3081 im Versionszweig 5.5.X beheben.
Version 3 (10.08.18):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘mysql-community-
server’ auf Version 5.6.41 bereit, um die betreffenden 8 Schwachstellen zu
beheben.
Version 2 (31.07.18):
Canonical stellt für die Distributionen Ubuntu 12.04 ESM und Ubuntu 14.04
LTS Sicherheitsupdates auf die MySQL Version 5.5.61 und für die
Distributionen Ubuntu 16.04 LTS und Ubuntu 18.04 LTS auf MySQL 5.7.23 zur
Behebung der in dem jeweiligen Versionszweig befindlichen Schwachstellen
zur Verfügung.
Version 1 (18.07.18):
Neues Advisory
In den Komponenten MySQL Server, MySQL Enterprise Monitor, MySQL Workbench
und MySQL Connectors existieren verschiedene Schwachstellen, die von einem
zumeist entfernten, einfach authentisierten Angreifer ausgenutzt werden
können, um den MySQL Server, MySQL Enterprise Monitor, MySQL Workbench bzw.
MySQL Connector zum Absturz zu bringen (Denial-of-Service, DoS), Daten zu
manipulieren und Informationen auszuspähen. Die Schwachstelle CVE-2017-5645
betrifft die Komponente MySQL Enterprise Monitor und ermöglicht dem
entfernten, nicht authentisierten Angreifer die komplette Übernahme der
Komponente.
Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen
und stellt zur Behebung Oracle MySQL Server in den Versionen 5.5.61, 5.6.41,
5.7.23 und 8.0.12 als Sicherheitsupdates in Aussicht. Für die Komponente
MySQL Connector stellt Oracle die Releases 5.3.11 und 8.0.12 in Aussicht.
Die Schwachstelle CVE-2018-0739 betrifft alle MySQL Komponenten (Server,
Enterprise Monitor, Workbench und Connectors). Der Fix für diese
Schwachstelle adressiert zusätzlich die Schwachstellen CVE-2017-3737 und
CVE-2017-3738, deren Auswirkungen in Bezug auf Oracle MySQL Komponenten
nicht näher spezifiziert werden.
Die Schwachstelle CVE-2017-5645 betrifft nur die Komponente MySQL Enterprise
Monitor. Derzeit steht noch kein offizielles Release für die Komponente zur
Behebung der Schwachstellen bereit.
Die Schwachstellen CVE-2017-0379 und CVE-2018-2598 betreffen nur die
Komponente MySQL Workbench. Für den Versionszweig 8.0.X steht ein
Sicherheitsupdate auf Version 8.0.12 bereit und behebt die Schwachstelle
CVE-2017-0379. Dieses Release behebt zusätzlich die Schwachstelle
CVE-2017-9526 deren Auswirkung in Bezug auf die Komponente nicht näher
spezifiziert wird. Für den Versionszweig 6.3.X steht bislang kein Release
zur Behebung der Schwachstelle CVE-2018-2598 zur Verfügung.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1402]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
