Oracle MySQL
Oracle MySQL -alustan palvelin- ja asiakaskomponenteista on löydetty 15 keskipitkän prioriteetin haavoittuvuutta. Haavoittuvuudet on osoitettu CVE-tunnisteille CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . Näiden haavoittuvuuksien hyödyntäminen edellyttää, että hyökkääjä hankkii verkkoon pääsyn useiden protokollien kautta vaarantamaan MySQL-palvelimen.
CVE-2018-2767 (CVSS 3.0 Base Score 3.1) vaikuttaa Server: Security: Encryption -alikomponenttiin, joka vaikuttaa versioihin 5.5.60, 5.6.40 ja 5.7.22 asti. Jos haavoittuvuutta hyödynnetään, se voi sallia luvattoman lukuoikeuden hyökkääjälle.
CVE-2018-3054 (CVSS 3.0 Base Score 4.9) vaikuttaa Server: DDL -alikomponenttiin. Se vaikuttaa kaikkiin versioihin 5.7.22 ja 8.0.11 asti. Tämä haavoittuvuus on helposti hyödynnettävissä, ja sen avulla hyökkääjä voi kaataa järjestelmän toistuvasti DoS: llä.
CVE-2018-3056 (CVSS 3.0 Base Score 4.3) vaikuttaa Server: Security: Privileges -alikomponenttiin. Se vaikuttaa kaikkiin versioihin 5.7.22 ja 8.0.11 asti. Haavoittuvuuden on katsottu olevan helposti hyödynnettävissä, jolloin hyökkääjä saa luvattoman lukuoikeuden MySQL-palvelimen luettavien tietojen osajoukkoon.
CVE-2018-2058 (CVSS 3.0 Base Score 4.3) vaikuttaa MyISAM-alikomponenttiin. Se vaikuttaa versioihin 5.5.60, 5.6.40 ja 5.7.22 asti. Haavoittuvuuden arvioidaan olevan helposti hyödynnettävissä, mikä antaa hyökkääjälle luvattoman päivityksen, lisäyksen tai poiston MySQL-palvelimen tiedoista.
CVE-2018-3060 (CVSS 3.0 Base Score 6.5) vaikuttaa ImoDB-alaosaan. Se vaikuttaa versioon 5.7.22 ja 8.0.11 asti. Se on helposti hyödynnettävissä, ja onnistunut hyödyntäminen antaa hyökkääjälle mahdollisuuden luoda, poistaa tai muokata kriittisiä palvelintietoja sekä kaataa järjestelmän toistuvasti täydellä käyttöjärjestelmällä.
CVE-2018-3061 (CVSS 3.0 Base Score 4.9) vaikuttaa DML-alikomponenttiin. Se vaikuttaa versioon 5.7.22 asti. Haavoittuvuus on helposti hyödynnettävissä ja mahdollistaa toistuvan DoS-kaatumisen.
CVE-2018-3062 (CVSS 3.0 Base Score 5.3) vaikuttaa Memcached-alikomponenttiin. Se vaikuttaa versioihin 5.6.40, 5.7.22 ja 8.0.11 asti. Haavoittuvuutta on vaikea hyödyntää, mutta onnistunut hyökkäys voi sallia palvelimen usein toistuvan DoS-kaatumisen.
CVE-2018-3063 (CVSS 3.0 Base Score 4.9) vaikuttaa Server: Security: Priveleges -alikomponenttiin. Se vaikuttaa versioon 5.5.60 asti. Se on helposti hyödynnettävissä ja mahdollistaa kokonaisen DoS: n usein toistettavan kaatumisen.
CVE-2018-3064 (CVSS 3.0 Base Score 7.1) vaikuttaa InnoDB-alaosaan. Se vaikuttaa versioihin 5.6.40, 5.7.22 ja 8.0.11 asti. Se on helposti hyödynnettävissä ja sallii alhaisen etuoikeuden omaavan hyökkääjän päivittää, lisätä tai poistaa palvelintietoja ja aiheuttaa DoS-kaatumisen toistuvasti.
CVE-2018-3065 (CVSS 3.0 Base Score 6.5) vaikuttaa DML-alaosaan. Se vaikuttaa versioon 5.7.22 ja 8.0.11 asti. Exploit sallii toistuvan DoS-kaatumisen.
CVE-2018-3066 (CVSS 3.0 Base Score 3.3) vaikuttaa Server: Options -alikomponenttiin. Se vaikuttaa versioihin 5.5.60, 5.6.40m ja 5.7.22 asti. Vaikeasti hyödynnettävä haavoittuvuus sallii palvelintietojen lukemisen, päivittämisen, lisäämisen tai poistamisen.
CVE-2018-3070 (CVSS 3.0 Base Score 6.5) vaikuttaa Client mysqldump -alikomponenttiin. Se vaikuttaa versioihin 5.5.60, 5.6.40 ja 5.7.22 asti. Hyödyntäminen sallii toistettavan DoS-kaatumisen.
CVE-2018-3071 (CVSS 3.0 Base Score 4.9) vaikuttaa tarkastuslokin alikomponenttiin. Se vaikuttaa versioon 5.7.22 asti. Tämän haavoittuvuuden hyödyntäminen antaa hyökkääjän aiheuttaa toistuvan DoS-kaatumisen.
CVE-2018-3077 (CVSS 3.0 Base Score 4.9) vaikuttaa Server: DDL -alikomponenttiin. Se vaikuttaa versioon 5.7.22 ja 8.0.11 asti. Hyödyntäminen sallii toistettavan DoS-kaatumisen.
CVE-2018-3081 (CVSS 3.0 Base Score 5.0) vaikuttaa asiakasohjelmien MySQL Client -komponentin alikomponenttiin. Se vaikuttaa versioon 5.5.60, 5.6.40, 5.7.22 ja 8.0.11 asti. Haavoittuvuutta on vaikea hyödyntää, mutta jos sitä hyödynnetään, se voi päivittää, lisätä tai poistaa MySQL Client -työkalun käytettävissä olevien tietojen käytön sekä kyvyn aiheuttaa toistuvia DoS-kaatumisia.
Kuten neuvoja ( 1 / 2 ), joka on julkaistu Ubuntun verkkosivustolla, näiden haavoittuvuuksien aiheuttamien uhkien ratkaisemiseksi vastaaville Ubuntu-versioille on julkaistu pakettipäivityksiä. Päivitys mysql-palvelin-5.7 - 5.7.2.3-0ubuntu0.18.04.1 on tarkoitettu Ubuntu 18.04 LTS: lle ja mysql-palvelin-5.7 - 5.7.2.3-0ubuntu0.16.04.1 on tarkoitettu Ubuntu 16.04 LTS: lle. Ubuntu 14.04 LTS: n ja Ubuntu 12.04 ESM: n päivitys on mysql-palvelin-5.5 - 5.5.61-0ubuntu0.14.04.1 ja mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Nämä päivitykset ovat saatavilla verkkosivustolta ladattaviksi ja asennettaviksi suoraan.
Voit myös avata työpöydän päivityksen hallinnan ja tarkistaa odottavat päivitykset Asetukset-välilehdessä. Napsauttamalla päivityksiä ja jatkaaksesi asennusta, korjaustiedostot otetaan käyttöön. Palvelimen päivitys-ilmoittaja-yhteisessä paketissa voit tarkistaa päivitykset seuraavilla tavoilla: 'sudo apt-get update' ja 'sudo apt-get dist-upgrade'. Jos sallit päivitysten jatkamisen, he voivat asentaa ne suoraan.
