Oracle MySQL
Cincisprezece vulnerabilități cu prioritate medie au fost găsite în componentele Server și Client ale platformei Oracle MySQL. Vulnerabilităților li s-au alocat etichetele CVE CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . Exploatarea acestor vulnerabilități necesită ca atacatorul să obțină acces la rețea prin mai multe protocoale pentru a compromite serverul MySQL.
CVE-2018-2767 (CVSS 3.0 Base Score 3.1) are impact asupra serverului: Securitate: subcomponentă de criptare care afectează versiunile până la 5.5.60, 5.6.40 și 5.7.22. Dacă vulnerabilitatea este exploatată, aceasta poate permite accesul de citire neautorizat la atacator.
CVE-2018-3054 (CVSS 3.0 Base Score 4.9) afectează subcomponenta Server: DDL. Afectează toate versiunile până la 5.7.22 și 8.0.11. Această vulnerabilitate este ușor de exploatat și permite unui atacator să poată prăbuși în mod repetat sistemul cu un DoS.
CVE-2018-3056 (CVSS 3.0 Scorul de bază 4.3) are impact asupra subcomponentului Server: Securitate: privilegii. Afectează toate versiunile până la 5.7.22 și 8.0.11. Vulnerabilitatea a fost considerată ușor de exploatat, oferind atacatorului accesul de citire neautorizat la un subset de date MySQL Server lizibile.
CVE-2018-2058 (CVSS 3.0 Scorul de bază 4.3) afectează subcomponenta MyISAM. Afectează versiunile până la 5.5.60, 5.6.40 și 5.7.22. Vulnerabilitatea este evaluată a fi ușor de exploatat, acordând unui atacator actualizarea, inserarea sau ștergerea neautorizată a accesului la datele serverului MySQL.
CVE-2018-3060 (CVSS 3.0 Base Score 6.5) afectează subcomponenta ImoDB. Afectează versiunile până la 5.7.22 și 8.0.11. Este ușor de exploatat și o exploatare reușită permite unui atacator să creeze, să șteargă sau să modifice datele critice ale serverului, precum și să blocheze în mod repetat sistemul cu un DoS complet.
CVE-2018-3061 (CVSS 3.0 Base Score 4.9) afectează subcomponenta DML. Afectează versiunile până la 5.7.22. Vulnerabilitatea este ușor de exploatat și permite un accident DoS repetat.
CVE-2018-3062 (CVSS 3.0 Base Score 5.3) are impact asupra subcomponentului Memcached. Afectează versiunile până la 5.6.40, 5.7.22 și 8.0.11. Vulnerabilitatea este dificil de exploatat, dar un atac reușit poate permite o blocare DoS repetabilă a serverului.
CVE-2018-3063 (CVSS 3.0 Scorul de bază 4.9) afectează serverul: Securitate: subcomponentă Priveleges. Afectează versiunile până la 5.5.60. Este ușor de exploatat și permite o blocare DoS completă repetabilă frecvent.
CVE-2018-3064 (CVSS 3.0 Base Score 7.1) afectează subcomponenta InnoDB. Afectează versiunile până la 5.6.40, 5.7.22 și 8.0.11. Este ușor de exploatat și permite unui atacator cu privilegii reduse să actualizeze, să insereze sau să șteargă datele serverului și să provoace un blocaj DoS în mod repetat.
CVE-2018-3065 (CVSS 3.0 Base Score 6.5) afectează subcomponenta DML. Afectează versiunile până la 5.7.22 și 8.0.11. Exploit permite blocarea repetată a DoS.
CVE-2018-3066 (CVSS 3.0 Base Score 3.3) afectează subcomponenta Server: Opțiuni. Afectează versiunile până la 5.5.60, 5.6.40m și 5.7.22. Vulnerabilitatea dificil de exploatat permite citirea, actualizarea, inserarea sau ștergerea accesului la datele serverului.
CVE-2018-3070 (CVSS 3.0 Base Score 6.5) are impact asupra subcomponentului MySQLDump Client. Afectează versiunile până la 5.5.60, 5.6.40 și 5.7.22. Exploit permite blocarea DoS repetabilă.
CVE-2018-3071 (Scorul de bază CVSS 3.0 4.9) afectează subcomponenta jurnalului de audit. Afectează versiunile până la 5.7.22. Exploatarea acestei vulnerabilități permite unui atacator să provoace blocarea DoS repetabilă.
CVE-2018-3077 (CVSS 3.0 Scorul de bază 4.9) afectează subcomponenta Server: DDL. Afectează versiunile până la 5.7.22 și 8.0.11. Exploit permite blocarea DoS repetabilă.
CVE-2018-3081 (CVSS 3.0 Base Score 5.0) afectează subcomponenta programelor Client a componentei MySQL Client. Afectează versiunile până la 5.5.60, 5.6.40, 5.7.22 și 8.0.11. Vulnerabilitatea este dificil de exploatat, dar dacă este exploatată, permite actualizarea, inserarea sau ștergerea accesului la datele accesibile MySQL Client, precum și posibilitatea de a provoca blocarea DoS repetabilă.
Conform recomandărilor ( 1 / 2 ) postat pe site-ul Ubuntu, pentru a rezolva amenințările prezentate de aceste vulnerabilități, au fost lansate actualizări de pachete pentru versiunile respective de Ubuntu. Actualizarea mysql-server-5.7 - 5.7.2.3-0ubuntu0.18.04.1 este pentru Ubuntu 18.04 LTS și mysql-server-5.7 - 5.7.2.3-0ubuntu0.16.04.1 este pentru Ubuntu 16.04 LTS. Actualizarea pentru Ubuntu 14.04 LTS și Ubuntu 12.04 ESM este mysql-server-5.5 - 5.5.61-0ubuntu0.14.04.1 și mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Aceste actualizări sunt disponibile pe site pentru descărcare și instalare directă.
De asemenea, puteți deschide Managerul de actualizări pentru desktop și puteți verifica actualizările în așteptare în fila Setări. Dând clic pe actualizări și procedând la instalare, se vor aplica patch-urile. Pe un pachet de actualizare-notificator-comun pentru un server, puteți verifica actualizările cu următoarele: „sudo apt-get update” și „sudo apt-get dist-upgrade”. Permiterea permisiunilor de a continua cu actualizările le permite să se instaleze direct.
