Bundesamt für Sicherheit in der Informationstechnik

CB-K17/0098 Update 7

Risikostufe 4

Titel:Oracle MySQL, MariaDB: Mehrere Schwachstellen ermöglichen u.a. die Übernahme des MySQL ServersDatum:17.02.2017Software:MariaDB < 10.0.29, MySQL Community Server < 5.6.35, Oracle MySQL <= 5.5.53, Oracle MySQL <= 5.6.34, Oracle MySQL <= 5.7.16, Oracle MySQL Cluster <= 7.2.25, Oracle MySQL Cluster <= 7.3.14, Oracle MySQL Cluster <= 7.4.12, Oracle MySQL Enterprise Monitor <= 3.1.5.7958, Oracle MySQL Enterprise Monitor <= 3.2.4.1102, Oracle MySQL Enterprise Monitor <= 3.3.0.1098Plattform:SUSE Linux Enterprise Debuginfo 11 SP3, SUSE Linux Enterprise Debuginfo 11 SP4, SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Software Development Kit 12 SP1, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Workstation Extension 12 SP1, SUSE Linux Enterprise Workstation Extension 12 SP2, SUSE Manager 2.1, SUSE Manager Proxy 2.1, SUSE OpenStack Cloud 5, Apple Mac OS X, macOS Sierra, Canonical Ubuntu Linux 12.04 LTS, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 16.10, Debian Linux 8.6 Jessie, GNU/Linux, Microsoft Windows , openSUSE Leap 42.1, openSUSE Leap 42.2, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Server 11 SP3 LTSS, SUSE Linux Enterprise Server 11 SP4, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Server for SAP 12, SUSE Linux Enterprise Server 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, Oracle Solaris, Red Hat Fedora 24, Red Hat Fedora 25Auswirkung:Erlangen von AdministratorrechtenRemoteangriff:JaRisiko:hochCVE Liste:CVE-2015-5351, CVE-2015-7501, CVE-2016-0635, CVE-2016-0706, CVE-2016-0714, CVE-2016-0763, CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-5541, CVE-2016-5590, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306, CVE-2016-8318, CVE-2016-8327, CVE-2017-3238, CVE-2017-3243, CVE-2017-3244, CVE-2017-3251, CVE-2017-3256, CVE-2017-3257, CVE-2017-3258, CVE-2017-3265, CVE-2017-3273, CVE-2017-3291, CVE-2017-3312, CVE-2017-3313, CVE-2017-3317, CVE-2017-3318, CVE-2017-3319, CVE-2017-3320, CVE-2017-3321, CVE-2017-3322, CVE-2017-3323Bezug: Oracle Critical Patch Update Advisory January 2017 - CPUJan2017 (Oracle MySQL)

Beschreibung

MariaDB ist eine Open Source Abspaltung (Fork) von MySQL.

MySQL ist eines der weltweit verbreitetsten relationalen Datenbankverwaltungssysteme.

MySQL Cluster ist eine Speicher-Engine des Datenbanksystems MySQL, die die Installation der Datenbank auf einem Shared Nothing Computercluster erlaubt. Das Design ermöglicht eine sehr hohe Verfügbarkeit und sehr hohen Durchsatz mit geringer Latenz bei nahezu linearer Skalierbarkeit.

Der Oracle MySQL Enterprise Monitor wird zur Überwachung relationaler Datenbankmanagementsysteme eingesetzt.

In mehreren Subkomponenten der Komponenten MySQL Server und MySQL Cluster von Oracle MySQL sind verschiedene Schwachstellen vorhanden, die zumeist von einem entfernten, einfach authentifizierten Angreifer ausgenutzt werden können, um den MySQL Server zum Absturz zu bringen (Denial-of-Service, DoS), Informationen auszuspähen und Dateien zu manipulieren. Zwei weitere Schwachstellen im MySQL Enterprise Monitor erlauben dem Angreifer das Erlangen von Administratorrechten. Mehrere weitere Schwachstellen ermöglichen einem lokalen, einfach authentifizierten Angreifer die komplette Übernahme des MySQL Servers und das Ausspähen von Informationen. Ein entfernter, nicht authentifizierter Angreifer kann mehrere Schwachstellen für weitere Denial-of-Service-Angriffe ausnutzen. Der Hersteller Oracle veröffentlicht Informationen zu diesen Schwachstellen und stellt Sicherheitsupdates zur Verfügung. Mit der Behebung der Schwachstelle CVE-2016-0714 (Apache Tomcat) in MySQL Server werden auch die Schwachstellen CVE-2015-5351, CVE-2016-0706 und CVE-2016-0763 adressiert. Die Beseitigung der Schwachstelle CVE-2016-6304 (OpenSSL) behebt ebenfalls die Schwachstellen CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303 und CVE-2016-6306.

Quellen: