Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1635 Update 1

Risikostufe 4

Titel:Oracle MySQL Connector/J: Mehrere Schwachstellen ermöglichen u.a. die Übernahme des MySQL ConnectorsDatum:13.03.2018Software:Oracle MySQL Connector/J < 5.1.42Plattform:SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, openSUSE Leap 42.3Auswirkung:Erlangen von AdministratorrechtenRemoteangriff:JaRisiko:hochCVE Liste:CVE-2017-3523, CVE-2017-3586, CVE-2017-3589Bezug: SUSE Security Update SUSE-SU-2017:2591-1

Beschreibung

MySQL Connector/J ist der offizielle JDBC Treiber für MySQL.

Eine Schwachstelle im MySQL Connector ermöglicht einem entfernten, einfach authentisierten, niedrig privilegierten Angreifer die Kompromittierung und Übernahme des MySQL Connectors. Eine weitere Schwachstelle ermöglichen einem solchen Angreifer das Manipulieren und Ausspähen von Daten. Das Manipulieren von Daten ist über eine dritte Schwachstelle auch einem lokalen, einfach authentisierten Angreifer möglich. Für das SUSE Linux Enterprise Software Development Kit 12 SP2 und SP3 wird der MySQL Connector/J auf die Version 5.1.42 aktualisiert, um die Schwachstellen zu beheben.