Oracle MySQL
V komponentah strežnika in odjemalca platforme Oracle MySQL je bilo najdenih petnajst ranljivosti srednje prioritete. Ranljivostim so bile dodeljene oznake CVE CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . Izkoriščanje teh ranljivosti zahteva, da napadalec pridobi dostop do omrežja prek več protokolov, da ogrozi strežnik MySQL.
CVE-2018-2767 (osnovna ocena CVSS 3.0 3.1) vpliva na strežnik: Varnost: podkomponenta šifriranja, ki vpliva na različice do 5.5.60, 5.6.40 in 5.7.22. Če se ranljivost izkoristi, lahko napadalcu omogoči nepooblaščen dostop do branja.
CVE-2018-3054 (CVSS 3.0 Base Score 4.9) vpliva na podkomponento Server: DDL. Vpliva na vse različice do 5.7.22 in 8.0.11. To ranljivost je enostavno izkoristiti in omogoča napadalcu, da lahko večkrat zruši sistem z DoS.
CVE-2018-3056 (osnovna ocena CVSS 3.0 4.3) vpliva na podkomponento Server: Security: Privileges. Vpliva na vse različice do 5.7.22 in 8.0.11. Za ranljivost je veljalo, da jo je mogoče zlahka izkoristiti, saj je napadalcu omogočil nepooblaščen dostop do branja do podskupine berljivih podatkov strežnika MySQL.
CVE-2018-2058 (osnovna ocena CVSS 3.0 4.3) vpliva na podkomponento MyISAM. Vpliva na različice do 5.5.60, 5.6.40 in 5.7.22. Ocenjeno je, da je ranljivost zlahka izkoriščevalna in omogoča napadalcu nepooblaščeno posodobitev, vstavljanje ali brisanje podatkov strežniških podatkov MySQL.
CVE-2018-3060 (osnovna ocena CVSS 3.0 6.5) vpliva na podkomponento ImoDB. Vpliva na različici do 5.7.22 in 8.0.11. Zlahka ga je mogoče izkoristiti in uspešen izkoristek omogoča napadalcu, da ustvari, izbriše ali spremeni ključne podatke strežnika, pa tudi večkrat zruši sistem s popolnim DoS
CVE-2018-3061 (CVSS 3.0 Base Score 4.9) vpliva na podkomponento DML. Vpliva na različice do 5.7.22. Ranljivost je enostavno izkoristljiva in omogoča večkratno zrušitev DoS.
CVE-2018-3062 (osnovna ocena CVSS 3.0 5.3) vpliva na podkomponento Memcached. Vpliva na različice do 5.6.40, 5.7.22 in 8.0.11. Ranljivost je težko izkoristiti, vendar uspešen napad lahko omogoči pogosto ponovljiv zlom DoS strežnika.
CVE-2018-3063 (osnovna ocena CVSS 3.0 4.9) vpliva na strežnik: Varnost: podkomponenta Priveleges. Vpliva na različice do 5.5.60. Je enostavno uporaben in omogoča popoln zlom DoS-a, ki se pogosto ponavlja.
CVE-2018-3064 (osnovna ocena CVSS 3.0 7.1) vpliva na podkomponento InnoDB. Vpliva na različice do 5.6.40, 5.7.22 in 8.0.11. Zlahka ga je mogoče izkoristiti in omogoča nizko privilegiranemu napadalcu, da posodablja, vstavlja ali briše podatke strežnika in večkrat povzroči zrušitev DoS.
CVE-2018-3065 (CVSS 3.0 Base Score 6.5) vpliva na podkomponento DML. Vpliva na različici do 5.7.22 in 8.0.11. Exploit omogoča večkratno zrušitev DoS.
CVE-2018-3066 (osnovna ocena CVSS 3.0 3.3) vpliva na podkomponento Server: Options. Vpliva na različice do 5.5.60, 5.6.40m in 5.7.22. Težko izkoriščena ranljivost omogoča branje, posodabljanje, vstavljanje ali brisanje dostopa do podatkov strežnika.
CVE-2018-3070 (osnovna ocena CVSS 3.0 6.5) vpliva na podkomponento odjemalca mysqldump. Vpliva na različice do 5.5.60, 5.6.40 in 5.7.22. Izkoriščanje omogoča ponovljivo zrušitev DoS.
CVE-2018-3071 (osnovna ocena CVSS 3.0 4.9) vpliva na podkomponento revizijskega dnevnika. Vpliva na različice do 5.7.22. Izkoriščanje te ranljivosti omogoča napadalcu, da povzroči ponovljivo zrušitev DoS.
CVE-2018-3077 (CVSS 3.0 Base Score 4.9) vpliva na podkomponento Server: DDL. Vpliva na različici do 5.7.22 in 8.0.11. Exploit omogoča ponovljivo zrušitev DoS.
CVE-2018-3081 (CVSS 3.0 Base Score 5.0) vpliva na podkomponento odjemalskih programov komponente odjemalca MySQL. Vpliva na različice do 5.5.60, 5.6.40, 5.7.22 in 8.0.11. Ranljivost je težko izkoristiti, vendar če jo izkoristite, omogoča posodobitev, vstavljanje ali brisanje dostopa do podatkov, dostopnih odjemalcu MySQL, in tudi možnost ponovljivega zrušitve DoS.
Glede na nasvete ( 1. / 2. ), objavljeni na spletnem mestu Ubuntu, da bi rešili grožnje, ki jih predstavljajo te ranljivosti, so izdane posodobitve paketov za ustrezne različice Ubuntuja. Posodobitev mysql-server-5.7 - 5.7.2.3-0ubuntu0.18.04.1 je za Ubuntu 18.04 LTS in mysql-server-5.7 - 5.7.2.3-0ubuntu0.16.04.1 je za Ubuntu 16.04 LTS. Posodobitev za Ubuntu 14.04 LTS in Ubuntu 12.04 ESM je mysql-server-5.5 - 5.5.61-0ubuntu0.14.04.1 in mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Te posodobitve so na voljo na spletnem mestu za neposreden prenos in namestitev.
Odprete lahko tudi upravitelja posodobitev za namizje in preverite čakajoče posodobitve na zavihku nastavitev. Če kliknete posodobitve in nadaljujete z namestitvijo, bodo popravki uporabljeni. V paketu update-notifier-common za strežnik lahko preverite, ali so na voljo posodobitve: »sudo apt-get update« in »sudo apt-get dist-upgrade«. Če dovoljenjem nadaljujete s posodobitvami, jih lahko neposredno namestite.
