[Sec-cert] UPDATE: DFN-CERT-2014-0190 RHEL: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][RedHat]

portal at dfn-cert.de portal at dfn-cert.de
Mi Feb 19 12:35:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (19.02.2014):
    Es stehen nun fehlerbereinigte Pakete zur Verfügung für RHEL Desktop
    Workstation 5 Client, Red Hat Enterprise Linux 5 Server und Red Hat
    Enterprise Linux Desktop 5 Client.
  Version 1 (14.02.2014):
    Neues Advisory

Betroffene Software:

  Oracle MySQL <= 5.5.35
  Red Hat Software Collections 1
  

Betroffene Plattformen:

  Red Hat Enterprise Linux 5 Server
  Red Hat Enterprise Linux <= 6
  Red Hat Enterprise Linux Desktop 5 Workstation/Client
  Red Hat Enterprise Linux Desktop 5.0
  


Mehrere Schwachstellen in MySQL und MariaDB ermöglichen es einem entfernten,
nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durch-
oder beliebige Befehle mit den Rechten des Dienstes auszuführen.


Patch:

  Red Hat Hersteller-Advisory RHSA-2014:0173-1

  <http://rhn.redhat.com/errata/RHSA-2014-0173.html>

Patch:

  Red Hat Hersteller-Advisory RHSA-2014:0186

  <http://rhn.redhat.com/errata/RHSA-2014-0186.html>


CVE-2014-0001: Schwachstelle in MySQL Kommandozeilen Tool

  Eine Schwachstelle in dem MySQL Kommandozeilen Tool bewirkt, dass eine sehr
  lange Zeichenkette als Versionsangabe einen Pufferüberlauf auslösen kann und
  damit einem entfernten, nicht authentifizierten Angreifer das Ausführen von
  Code ermöglicht oder für einen Denial-of-Service-Angriff genutzt werden
  kann.


CVE-2013-5807: Schwachstelle in MySQL Server

  Eine Schwachstelle im MySQL Server  und im MySQL Community Server kann zur
  vollständigen Kompromittierung des Servers führen. Ein entfernter,
  authentifizierter Benutzer kann als Angreifer durch die Verwendung
  verschiedener Protokolle den vollen Lese- und Schreib-Zugriff auf alle vom
  Server aus erreichbaren Daten erhalten.


CVE-2014-0437: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "Optimizer" enthalten. 


CVE-2014-0420: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "Replication" enthalten. 


CVE-2014-0412: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "InnoDB" enthalten. 


CVE-2014-0402: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "Locking" enthalten.


CVE-2014-0401: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "Privileges" enthalten. 


CVE-2014-0393: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "InnoDB" enthalten. 


CVE-2014-0386: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "Optimizer" enthalten. 


CVE-2013-5908: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "Error Handling" enthalten. 


CVE-2013-5891: Schwachstelle in MySQL Server

  In MySQL Server ist eine nicht näher beschriebene Schwachstelle in der
  Komponente "Partition" enthalten.


CVE-2013-3839: Schwachstelle in MySQL Server

  Eine nicht näher beschriebene Schwachstelle im MySQL Server und im MySQL
  Community Server kann zu einem Absturz führen. Ein entfernter,
  authentifizierter Angreifer kann durch Ausnutzen der Schwachstelle einen
  Denial-of-Service-Angriff durchführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0190/>

Schwachstelle CVE-2013-3839 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3839>

Schwachstelle CVE-2013-5807 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5807>

Schwachstelle CVE-2013-5891 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5891>

Schwachstelle CVE-2013-5908 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5908>

Schwachstelle CVE-2014-0386 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0386>

Schwachstelle CVE-2014-0393 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0393>

Schwachstelle CVE-2014-0401 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0401>

Schwachstelle CVE-2014-0402 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0402>

Schwachstelle CVE-2014-0412 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0412>

Schwachstelle CVE-2014-0420 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0420>

Schwachstelle CVE-2014-0437 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0437>

Schwachstelle CVE-2014-0001 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0001>

Red Hat Hersteller-Advisory RHSA-2014:0173-1:
  <http://rhn.redhat.com/errata/RHSA-2014-0173.html>

Red Hat Hersteller-Advisory RHSA-2014:0186:
  <http://rhn.redhat.com/errata/RHSA-2014-0186.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140219/8c31428e/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert