Oracle MySQL
Tizenöt közepes prioritású sebezhetőséget találtak az Oracle MySQL platform szerver és kliens összetevőiben. A sérülékenységeket kiosztották a CVE címkék CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . Ezeknek a biztonsági réseknek a kihasználása megköveteli, hogy a támadó több protokollon keresztül hálózati hozzáférést kapjon a MySQL-kiszolgáló veszélyeztetése érdekében.
A CVE-2018-2767 (CVSS 3.0 Base Score 3.1) hatással van a Kiszolgálóra: Biztonság: Titkosítás alkomponens, amely az 5.5.60, 5.6.40 és 5.7.22 verziókat érinti. Ha kihasználják a biztonsági rést, engedély nélküli olvasási hozzáférést engedélyezhet a támadóhoz.
A CVE-2018-3054 (CVSS 3.0 Base Score 4.9) hatással van a Server: DDL alkomponensre. Ez az 5.7.22 és a 8.0.11 verzióig érinti az összes verziót. Ez a biztonsági rés könnyen kihasználható, és lehetővé teszi a támadók számára, hogy ismételten lezárják a rendszert DoS-sel.
A CVE-2018-3056 (CVSS 3.0 Base Score 4.3) hatással van a Server: Security: Privileges alkomponensre. Ez az 5.7.22 és a 8.0.11 verzióig érinti az összes verziót. A biztonsági rést könnyen kihasználhatónak ítélték, így a támadó jogosulatlan olvasási hozzáférést biztosított a MySQL Server olvasható adatainak egy részéhez.
A CVE-2018-2058 (CVSS 3.0 Base Score 4.3) hatással van a MyISAM alkomponensre. Ez az 5.5.60, 5.6.40 és 5.7.22 verzióig érinti. A sérülékenységet úgy lehet értékelni, hogy könnyen kihasználható, és a támadók számára engedély nélküli frissítést, beillesztést vagy törlést biztosít a MySQL szerver adataihoz.
A CVE-2018-3060 (CVSS 3.0 Base Score 6.5) hatással van az ImoDB alkomponensre. Az 5.7.22-ig és a 8.0.11-ig terjedő verziókat érinti. Könnyen kihasználható, és a sikeres kihasználás lehetővé teszi a támadó számára, hogy kritikus kiszolgálói adatokat hozzon létre, töröljön vagy módosítson, valamint ismételten lezárja a rendszert egy teljes DoS-sel.
A CVE-2018-3061 (CVSS 3.0 Base Score 4.9) hatással van a DML alkomponensre. Az 5.7.22-ig terjedő verziókat érinti. A biztonsági rés könnyen kihasználható, és lehetővé teszi az ismételt DoS összeomlást.
A CVE-2018-3062 (CVSS 3.0 Base Score 5.3) hatással van a Memcached alkomponensre. Érinti az 5.6.40, 5.7.22 és 8.0.11 verziókat. A biztonsági rést nehéz kihasználni, de egy sikeres támadás lehetővé teheti a szerver gyakran megismételhető DoS összeomlását.
A CVE-2018-3063 (CVSS 3.0 Base Score 4.9) hatással van a Server: Security: Priveleges alkomponensre. Ez az 5.5.60-ig terjedő verziókat érinti. Könnyen kihasználható, és lehetővé teszi a teljes, gyakran megismételhető DoS összeomlást.
A CVE-2018-3064 (CVSS 3.0 Base Score 7.1) hatással van az InnoDB alkomponensre. Érinti az 5.6.40, 5.7.22 és 8.0.11 verziókat. Könnyen kihasználható, és lehetővé teszi az alacsony jogosultságú támadók számára a szerveradatok frissítését, beillesztését vagy törlését, és ismételten DoS összeomlást okozhat.
A CVE-2018-3065 (CVSS 3.0 Base Score 6.5) hatással van a DML alkomponensre. Az 5.7.22-ig és a 8.0.11-ig terjedő verziókat érinti. Az Exploit lehetővé teszi az ismételt DoS összeomlást.
A CVE-2018-3066 (CVSS 3.0 Base Score 3.3) hatással van a Server: Options alkomponensre. Ez az 5.5.60, 5.6.40m és 5.7.22 verzióig érinti. A nehezen kihasználható biztonsági rés lehetővé teszi a kiszolgáló adatainak olvasását, frissítését, beillesztését vagy törlését.
A CVE-2018-3070 (CVSS 3.0 Base Score 6.5) hatással van az ügyfél mysqldump alkomponensére. Ez az 5.5.60, 5.6.40 és 5.7.22 verzióig érinti. Az Exploit megismételhető DoS összeomlást tesz lehetővé.
A CVE-2018-3071 (CVSS 3.0 Base Score 4.9) hatással van az Audit Log alkomponensre. Az 5.7.22-ig terjedő verziókat érinti. A biztonsági rés kihasználása lehetővé teszi a támadó számára, hogy megismételhető DoS összeomlást okozzon.
A CVE-2018-3077 (CVSS 3.0 Base Score 4.9) hatással van a Server: DDL alkomponensre. Az 5.7.22-ig és a 8.0.11-ig terjedő verziókat érinti. Az Exploit megismételhető DoS összeomlást tesz lehetővé.
A CVE-2018-3081 (CVSS 3.0 Base Score 5.0) hatással van a MySQL Client komponens kliensprogramok alkomponensére. Érinti az 5.5.60, 5.6.40, 5.7.22 és 8.0.11 verziókat. A biztonsági rést nehéz kihasználni, de ha kihasználják, akkor a MySQL Client elérhető adatainak frissítését, beillesztését vagy törlését teszi lehetővé, valamint megismételhető DoS összeomlást okozhat.
A tanácsok szerint ( 1 / 2 ) az Ubuntu webhelyén közzétett e biztonsági rések okozta fenyegetések megoldása érdekében csomagfrissítéseket adtak ki az adott Ubuntu verziókhoz. A frissítés mysql-server-5.7 - 5.7.2.3-0ubuntu0.18.04.1 az Ubuntu 18.04 LTS és az mysql-server-5.7 - 5.7.2.3-0ubuntu0.16.04.1 az Ubuntu 16.04 LTS-hez való. Az Ubuntu 14.04 LTS és az Ubuntu 12.04 ESM frissítése mysql-server-5.5 - 5.5.61-0ubuntu0.14.04.1 és mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Ezek a frissítések a weboldalon elérhetők és közvetlenül letölthetők és telepíthetők.
Megnyithatja az asztali frissítéskezelőt is, és a beállítások lapon ellenőrizheti a függőben lévő frissítéseket. Ha rákattint a frissítésekre, és folytatja a telepítést, a javítások érvénybe lépnek. A kiszolgálóhoz tartozó update-notifier-common csomagon az alábbiakkal ellenőrizheti a frissítéseket: „sudo apt-get update” és „sudo apt-get dist-upgrade”. Az engedélyek engedélyezése a frissítések folytatásához lehetővé teszi számukra a közvetlen telepítést.
