As atualizações do MySQL para Ubuntu resolvem a manipulação de dados do servidor e vulnerabilidades DoS

Segurança / As atualizações do MySQL para Ubuntu resolvem a manipulação de dados do servidor e vulnerabilidades DoS 3 minutos lidos

Oracle MySQL



Quinze vulnerabilidades de prioridade média foram encontradas nos componentes Server e Client da plataforma Oracle MySQL. As vulnerabilidades foram atribuídas aos rótulos CVE CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . A exploração dessas vulnerabilidades requer que o invasor obtenha acesso à rede por meio de vários protocolos para comprometer o servidor MySQL.

CVE-2018-2767 (CVSS 3.0 Base Score 3.1) impacta o servidor: Segurança: Subcomponente de criptografia afetando versões até 5.5.60, 5.6.40 e 5.7.22. Se a vulnerabilidade for explorada, ela pode permitir o acesso de leitura não autorizado ao invasor.



CVE-2018-3054 (CVSS 3.0 Base Score 4.9) impacta o servidor: subcomponente DDL. Afeta todas as versões até 5.7.22 e 8.0.11. Esta vulnerabilidade é facilmente explorada e permite que um invasor consiga travar repetidamente o sistema com um DoS.



CVE-2018-3056 (CVSS 3.0 Base Score 4.3) impacta o subcomponente Servidor: Segurança: Privilégios. Afeta todas as versões até 5.7.22 e 8.0.11. A vulnerabilidade foi considerada facilmente explorável, dando ao invasor acesso de leitura não autorizado a um subconjunto de dados legíveis do MySQL Server.



CVE-2018-2058 (CVSS 3.0 Base Score 4.3) impacta o subcomponente MyISAM. Afeta as versões até 5.5.60, 5.6.40 e 5.7.22. A vulnerabilidade é avaliada para ser facilmente explorada, concedendo a um invasor atualização, inserção ou exclusão não autorizada de acesso aos dados do servidor MySQL.

CVE-2018-3060 (CVSS 3.0 Base Score 6.5) impacta o subcomponente ImoDB. Afeta as versões até 5.7.22 e 8.0.11. É facilmente explorável e uma exploração bem-sucedida permite que um invasor crie, exclua ou modifique dados críticos do servidor, bem como travar repetidamente o sistema com um DoS completo.

CVE-2018-3061 (CVSS 3.0 Base Score 4.9) impacta o subcomponente DML. Afeta versões até 5.7.22. A vulnerabilidade é facilmente explorável e permite uma falha de DoS repetida.



CVE-2018-3062 (CVSS 3.0 Base Score 5.3) impacta o subcomponente Memcached. Afeta as versões até 5.6.40, 5.7.22 e 8.0.11. A vulnerabilidade é difícil de explorar, mas um ataque bem-sucedido pode permitir uma falha de DoS do servidor que pode ser repetida com frequência.

CVE-2018-3063 (CVSS 3.0 Pontuação Básica 4.9) impacta o subcomponente Servidor: Segurança: Priveleges. Afeta versões até 5.5.60. É facilmente explorável e permite uma falha completa de DoS freqüentemente repetível.

CVE-2018-3064 (CVSS 3.0 Base Score 7.1) impacta o subcomponente InnoDB. Afeta as versões até 5.6.40, 5.7.22 e 8.0.11. É facilmente explorável e permite que um invasor com poucos privilégios atualize, insira ou exclua dados do servidor e cause um travamento de DoS repetidamente.

CVE-2018-3065 (CVSS 3.0 Base Score 6.5) impacta o subcomponente DML. Afeta as versões até 5.7.22 e 8.0.11. Exploit permite travamento de DoS repetido.

CVE-2018-3066 (CVSS 3.0 Base Score 3.3) impacta o subcomponente Servidor: Opções. Afeta versões até 5.5.60, 5.6.40m e 5.7.22. A vulnerabilidade de difícil exploração permite ler, atualizar, inserir ou excluir o acesso aos dados do servidor.

CVE-2018-3070 (CVSS 3.0 Base Score 6.5) impacta o subcomponente mysqldump do cliente. Afeta versões até 5.5.60, 5.6.40 e 5.7.22. O Exploit permite travamento de DoS repetível.

CVE-2018-3071 (CVSS 3.0 Base Score 4.9) impacta o subcomponente Audit Log. Afeta versões até 5.7.22. Explorar esta vulnerabilidade permite que um invasor cause travamento de DoS repetível.

CVE-2018-3077 (CVSS 3.0 Base Score 4.9) impacta o servidor: subcomponente DDL. Afeta as versões até 5.7.22 e 8.0.11. A exploração permite travamento de DoS repetível.

CVE-2018-3081 (CVSS 3.0 Base Score 5.0) impacta o subcomponente de programas do cliente do componente MySQL Client. Afeta versões até 5.5.60, 5.6.40, 5.7.22 e 8.0.11. A vulnerabilidade é difícil de explorar, mas se explorada permite atualizar, inserir ou excluir o acesso aos dados acessíveis do cliente MySQL, bem como a capacidade de causar travamento de DoS repetível.

De acordo com os avisos ( 1 / 2 ) postado no site do Ubuntu, para resolver as ameaças representadas por essas vulnerabilidades, foram lançadas atualizações de pacote para as respectivas versões do Ubuntu. A atualização mysql-server-5.7 - 5.7.2.3-0ubuntu0.18.04.1 é para Ubuntu 18.04 LTS e mysql-server-5.7 - 5.7.2.3-0ubuntu0.16.04.1 é para Ubuntu 16.04 LTS. A atualização para Ubuntu 14.04 LTS e Ubuntu 12.04 ESM é mysql-server-5.5 - 5.5.61-0ubuntu0.14.04.1 e mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Essas atualizações estão disponíveis no site para download e instalação direta.

Você também pode abrir o Gerenciador de atualizações para desktop e verificar as atualizações pendentes na guia de configurações. Clicar nas atualizações e prosseguir com a instalação aplicará os patches. Em um pacote update-notifier-common para um servidor, você pode verificar se há atualizações com o seguinte: “sudo apt-get update” e “sudo apt-get dist-upgrade”. Permitir permissões para prosseguir com as atualizações permite que eles instalem diretamente.