DFN-CERT Portal

Schwachstellen

DFN-CERT-2018-0260: MariaDB: Zwei Schwachstellen ermöglichen u.a. die Ausführung eines Denial-of-Service-Angriffes

Historie

Version 1 (2018-02-08 16:48)
Neues Advisory

Betroffene Software

MariaDB < 10.0.33

Betroffene Plattformen

SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE Linux Enterprise Workstation Extension 12 SP2
SUSE Linux Enterprise Workstation Extension 12 SP3
openSUSE Leap 42.3
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3

Lösung

Patch

SUSE Security Update SUSE-SU-2018:0384-1

Patch

openSUSE Security Update openSUSE-SU-2018:0400-1

Beschreibung

Eine Schwachstelle in der MariaDB ermöglicht einem entfernten, einfach authentisierten Angreifer die Ausführung eines Denial-of-Service (DoS)-Angriffes. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer das Ausspähen von Informationen.

Für die SUSE Linux Enterprise Produktvarianten Workstation Extension, Software Development Kit, Server und Desktop in den Versionen 12 SP2 und 12 SP3 und Server for Raspberry Pi 12 SP2 sowie openSUSE Leap 42.3 stehen Sicherheitsupdates auf die MariaDB Version 10.0.33 zur Behebung der Schwachstellen zur Verfügung. Neben den beiden Schwachstellen werden auch zwei nicht sicherheitsrelevante Fehler behoben.

Schwachstellen

CVE-2017-10378: Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

In der Komponente MySQL Server von Oracle MySQL (Subkomponente: Optimizer) in den unterstützten Versionen 5.5.57 und früheren, 5.6.37 und früheren sowie 5.7.11 und früheren sowie in der MariaDB existiert eine leicht auszunutzende Schwachstelle, die einem entfernten, einfach authentisierten und niedrig privilegierten Angreifer mit Netzwerkzugriff über verschiedene Protokolle ermöglicht, MySQL Server bzw. MariaDB zum Hängen oder wiederholten Absturz zu bringen (Denial-of-Service, DoS).

CVE-2017-10268: Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Ausspähen von Informationen

In der Komponente MySQL Server von Oracle MySQL (Subkomponente: Replication) in den unterstützten Versionen 5.5.57 und früheren, 5.6.37 und früheren sowie 5.7.19 und früheren sowie in der MariaDB existiert eine schwer auszunutzende Schwachstelle. Ein lokaler, einfach authentisierter und hoch privilegierter Angreifer mit Logon auf der Infrastruktur, auf der MySQL Server bzw. MariaDB ausgeführt wird, ermöglicht die Schwachstelle, unautorisiert auf kritische Daten oder auf alle über MySQL Server bzw. MariaDB zugänglichen Daten lesend zuzugreifen und somit Informationen auszuspähen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.