Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0659 [1.04]

Kwetsbaarheden in Oracle MySQL Server verholpen

21-09-2016 - Oracle heeft updates voor MySQL Server uitgebracht waarmee meerdere kwetsbaarheden zijn verholpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.04 #############################

Titel           : Kwetsbaarheden in Oracle MySQL Server verholpen
Advisory ID     : NCSC-2016-0659
Versie          : 1.04
Kans            : medium
CVE ID          : CVE-2016-2105, CVE-2016-3424, CVE-2016-3440,
                  CVE-2016-3452, CVE-2016-3459, CVE-2016-3471,
                  CVE-2016-3477, CVE-2016-3486, CVE-2016-3501,
                  CVE-2016-3518, CVE-2016-3521, CVE-2016-3588,
                  CVE-2016-3614, CVE-2016-3615, CVE-2016-5436,
                  CVE-2016-5437, CVE-2016-5439, CVE-2016-5440,
                  CVE-2016-5441, CVE-2016-5442, CVE-2016-5443,
                  CVE-2016-5444
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160921
Toepassing      : Oracle MySQL Server
Versie(s)       : <= 5.5.49
                  <= 5.6.30
                  <= 5.7.12
Platform(s)     : Linux
                  Microsoft Windows
                  SUSE

Update
   SUSE heeft updates uitgebracht om de kwetsbaarheden met CVE-ID 
   CVE-2016-3477, CVE-2016-3521, CVE-2016-3615 en CVE-2016-5440 te
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Oracle heeft updates voor MySQL Server uitgebracht waarmee meerdere
   kwetsbaarheden zijn verholpen.

Gevolgen
   Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden mogelijk
   op afstand misbruiken voor het verkrijgen van gevoelige informatie,
   om een Denial-of-Service te veroorzaken of om willekeurige code uit
   te voeren met de rechten van de gebruiker waaronder het
   server-proces draait.

Beschrijving
   Oracle heeft via de Critical Patch Update (CPU) van juli 2016
   diverse kwetsbaarheden in MySQL Server verholpen. Details over de
   kwetsbaarheden zijn niet bekend. Onderstaande tabel beschrijft de
   kwetsbaarheden die zijn verholpen op basis van het CVE-ID, de
   CVSS-score en de versies waarin de kwetsbaarheden aanwezig zijn.
   
   +---------------+------+----------+----------+----------+
   | CVE-ID        | CVSS | <=5.5.49 | <=5.6.30 | <=5.7.12 |
   +---------------+------+----------+----------+----------+
   | CVE-2016-2105 |  7.5 |          |     x    |     x    |
   | CVE-2016-3424 |  4.9 |          |          |     x    |
   | CVE-2016-3440 |  7.7 |          |          |     x    |
   | CVE-2016-3452 |  3.7 |     x    |     x    |     x    |
   | CVE-2016-3459 |  4.9 |          |     x    |     x    |
   | CVE-2016-3471 |  7.5 |     x    |     x    |          |
   | CVE-2016-3477 |  8.1 |     x    |     x    |     x    |
   | CVE-2016-3486 |  6.5 |          |     x    |     x    |
   | CVE-2016-3501 |  6.5 |          |     x    |     x    |
   | CVE-2016-3518 |  6.5 |          |          |     x    |
   | CVE-2016-3521 |  6.5 |     x    |     x    |     x    |
   | CVE-2016-3588 |  5.9 |          |          |     x    |
   | CVE-2016-3614 |  5.3 |          |     x    |     x    |
   | CVE-2016-3615 |  5.3 |     x    |     x    |     x    |
   | CVE-2016-5436 |  4.9 |          |          |     x    |
   | CVE-2016-5437 |  4.9 |          |          |     x    |
   | CVE-2016-5439 |  4.9 |          |     x    |     x    |
   | CVE-2016-5440 |  4.9 |     x    |     x    |     x    |
   | CVE-2016-5441 |  4.9 |          |          |     x    |
   | CVE-2016-5442 |  4.9 |          |          |     x    |
   | CVE-2016-5443 |  4.7 |          |          |     x    |
   | CVE-2016-5444 |  3.7 |     x    |     x    |     x    |
   +---------------+------+----------+----------+----------+

Mogelijke oplossingen
   Oracle heeft updates voor MySQL Server beschikbaar gesteld waarmee
   de kwetsbaarheden worden verholpen. Zie voor meer informatie:
   
   http://www.oracle.com/technetwork/security-advisory
      /cpujul2016-2881720.html
   
   -= Debian =-
   Debian heeft updates van mysql-5.5 beschikbaar gesteld voor Debian
   8.0 (Jessie) om de kwetsbaarheden met CVE-ID CVE-2016-3477,
   CVE-2016-3521, CVE-2016-3615 en CVE-2016-5440 te verhelpen. U kunt
   de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   https://www.debian.org/security/2016/dsa-3624
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Software
   Collections 1 voor Red Hat Enterprise Linux 6 en 7. Met deze updates
   worden de kwetsbaarheden met CVE-ID CVE-2016-3452, CVE-2016-3471,
   CVE-2016-3477, CVE-2016-3521, CVE-2016-3615, CVE-2016-5440 en
   CVE-2016-5444 verholpen. U kunt deze updates installeren met behulp
   van het commando 'yum'. Meer informatie over deze updates en over
   een eventueel handmatige installatie vindt u op:
   
   http://rhn.redhat.com/errata/RHSA-2016-1480.html
   
   Red Hat heeft updates beschikbaar gesteld voor mysql-5.6 voor RHEL 6
   en RHEL 7 waarin de kwetsbaarheden met CVE-ID CVE-2016-3459,
   CVE-2016-3477, CVE-2016-3486, CVE-2016-3501, CVE-2016-3521,
   CVE-2016-3614, CVE-2016-3615, CVE-2016-5439 en CVE-2016-5440 worden
   verholpen. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2016-1601.html
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden met
   CVE-ID's CVE-2016-3477, CVE-2016-3521, CVE-2016-3615, CVE-2016-5440
   te verhelpen in SUSE 11. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt de packages ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   http://lists.suse.com/pipermail/sle-security-updates/2016-September
      /002279.html
   
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS, 15.10 en 16.04 LTS om de kwetsbaarheden te verhelpen. U
   kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-3040-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=dNwA
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017