Oracle MySQL
Открити са петнадесет уязвимости със среден приоритет в сървърните и клиентските компоненти на платформата Oracle MySQL. Уязвимостите получиха етикетите CVE CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . Използването на тези уязвимости изисква нападателят да получи достъп до мрежата чрез множество протоколи, за да компрометира MySQL сървъра.
CVE-2018-2767 (CVSS 3.0 Base Score 3.1) въздейства върху сървъра: Сигурност: Подкомпонент за криптиране, засягащ версии до 5.5.60, 5.6.40 и 5.7.22. Ако уязвимостта се използва, тя може да позволи неоторизиран достъп за четене до нападателя.
CVE-2018-3054 (CVSS 3.0 Base Score 4.9) оказва влияние върху подкомпонента Server: DDL. Засяга всички версии до 5.7.22 и 8.0.11. Тази уязвимост е лесно използваема и позволява на атакуващия да може многократно да срива системата с DoS.
CVE-2018-3056 (CVSS 3.0 Base Score 4.3) въздейства върху сървъра: Сигурност: Привилегии подкомпонент. Засяга всички версии до 5.7.22 и 8.0.11. Уязвимостта е определена като лесна за експлоатация, като дава на атакуващия неоторизиран достъп за четене до подгрупа от четми данни на MySQL Server.
CVE-2018-2058 (CVSS 3.0 Base Score 4.3) влияе върху подкомпонента MyISAM. Това засяга версии до 5.5.60, 5.6.40 и 5.7.22. Уязвимостта се оценява като лесно използваема, като предоставя на атакуващ неоторизирана актуализация, вмъкване или изтриване на достъп до данни на MySQL сървър.
CVE-2018-3060 (CVSS 3.0 Base Score 6.5) влияе върху подкомпонента ImoDB. Засяга версии до 5.7.22 и 8.0.11. Лесно се използва и успешният експлойт позволява на нападателя да създава, изтрива или модифицира важни данни на сървъра, както и многократно да срива системата с пълна DoS.
CVE-2018-3061 (CVSS 3.0 Base Score 4.9) влияе на DML подкомпонента. Засяга версии до 5.7.22. Уязвимостта е лесно използваема и позволява повторно срив на DoS.
CVE-2018-3062 (CVSS 3.0 Base Score 5.3) влияе на подкомпонента Memcached. Това засяга версии до 5.6.40, 5.7.22 и 8.0.11. Уязвимостта е трудна за използване, но успешната атака може да позволи често повтарящ се срив на DoS на сървъра.
CVE-2018-3063 (CVSS 3.0 Base Score 4.9) въздейства върху сървъра: Сигурност: подкомпонент Priveleges. Засяга версии до 5.5.60. Той е лесно използваем и позволява пълен повтарящ се DoS често повтарящ се.
CVE-2018-3064 (CVSS 3.0 Base Score 7.1) въздейства върху подкомпонента InnoDB. Това засяга версии до 5.6.40, 5.7.22 и 8.0.11. Лесно се експлоатира и позволява на атакуващ с ниска привилегия да актуализира, вмъква или изтрива данни на сървъра и да причинява многократно срив на DoS.
CVE-2018-3065 (CVSS 3.0 Base Score 6.5) влияе върху DML подкомпонента. Засяга версии до 5.7.22 и 8.0.11. Експлойтът позволява повтарящ се срив на DoS.
CVE-2018-3066 (CVSS 3.0 Base Score 3.3) влияе на подкомпонента Сървър: Опции. Засяга версии до 5.5.60, 5.6.40m и 5.7.22. Трудно използваемата уязвимост позволява четене, актуализиране, вмъкване или изтриване на достъп до сървърни данни.
CVE-2018-3070 (CVSS 3.0 Base Score 6.5) въздейства на клиентския подкомпонент mysqldump. Това засяга версии до 5.5.60, 5.6.40 и 5.7.22. Експлойтът позволява повторяем срив на DoS.
CVE-2018-3071 (CVSS 3.0 Base Score 4.9) въздейства на подкомпонента Log Audit. Засяга версии до 5.7.22. Използването на тази уязвимост позволява на нападателя да причини повтарящ се срив на DoS.
CVE-2018-3077 (CVSS 3.0 Base Score 4.9) въздейства на подкомпонента Server: DDL. Засяга версии до 5.7.22 и 8.0.11. Exploit позволява повтарящ се срив на DoS.
CVE-2018-3081 (CVSS 3.0 Base Score 5.0) влияе на подкомпонента на клиентските програми на компонента MySQL Client. Засяга версии до 5.5.60, 5.6.40, 5.7.22 и 8.0.11. Уязвимостта е трудна за експлоатация, но ако е експлоатирана, позволява актуализиране, вмъкване или изтриване на достъп до данни, достъпни за клиента на MySQL, както и възможността да се причини повтарящ се срив на DoS.
Съгласно препоръките ( 1 / 2 ), публикувани на уебсайта на Ubuntu, за разрешаване на заплахите, породени от тези уязвимости, са пуснати актуализации на пакети за съответните версии на Ubuntu. Актуализацията mysql-сървър-5.7 - 5.7.2.3-0ubuntu0.18.04.1 е за Ubuntu 18.04 LTS и mysql-сървър-5.7 - 5.7.2.3-0ubuntu0.16.04.1 е за Ubuntu 16.04 LTS. Актуализацията за Ubuntu 14.04 LTS и Ubuntu 12.04 ESM е mysql-сървър-5.5 - 5.5.61-0ubuntu0.14.04.1 и mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Тези актуализации са достъпни на уебсайта за директно изтегляне и инсталиране.
Можете също да отворите диспечера на актуализации за настолни компютри и да проверите чакащите актуализации в раздела с настройки. Кликвайки върху актуализациите и продължавайки да инсталирате, ще приложите корекциите. В пакет за update-notifier-общ за сървър можете да проверите за актуализации със следното: „sudo apt-get update“ и „sudo apt-get dist-upgrade“. Разрешаването на разрешенията да продължат с актуализациите им позволява да се инсталират директно.
