Oracle MySQL
Quinze vulnérabilités de priorité moyenne ont été trouvées dans les composants Serveur et Client de la plateforme Oracle MySQL. Les vulnérabilités ont reçu les labels CVE CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . L'exploitation de ces vulnérabilités nécessite que l'attaquant obtienne un accès réseau via plusieurs protocoles pour compromettre le serveur MySQL.
CVE-2018-2767 (CVSS 3.0 Base Score 3.1) a un impact sur le serveur: Sécurité: sous-composant de chiffrement affectant les versions jusqu'à 5.5.60, 5.6.40 et 5.7.22. Si la vulnérabilité est exploitée, elle peut permettre un accès en lecture non autorisé à l'attaquant.
CVE-2018-3054 (CVSS 3.0 Base Score 4.9) a un impact sur le sous-composant Serveur: DDL. Il affecte toutes les versions jusqu'à 5.7.22 et 8.0.11. Cette vulnérabilité est facilement exploitable et permet à un attaquant de pouvoir planter le système à plusieurs reprises avec un DoS.
CVE-2018-3056 (CVSS 3.0 Base Score 4.3) a un impact sur le sous-composant Serveur: Sécurité: Privilèges. Il affecte toutes les versions jusqu'à 5.7.22 et 8.0.11. La vulnérabilité a été jugée facilement exploitable, donnant à l'attaquant un accès en lecture non autorisé à un sous-ensemble de données lisibles sur MySQL Server.
CVE-2018-2058 (CVSS 3.0 Base Score 4.3) a un impact sur le sous-composant MyISAM. Il affecte les versions jusqu'à 5.5.60, 5.6.40 et 5.7.22. La vulnérabilité est jugée facilement exploitable, accordant à un attaquant un accès non autorisé à la mise à jour, l'insertion ou la suppression des données du serveur MySQL.
CVE-2018-3060 (CVSS 3.0 Base Score 6.5) a un impact sur le sous-composant ImoDB. Il affecte les versions jusqu'à 5.7.22 et 8.0.11. Il est facilement exploitable et un exploit réussi permet à un attaquant de créer, supprimer ou modifier des données critiques du serveur ainsi que de planter à plusieurs reprises le système avec un DoS complet.
CVE-2018-3061 (CVSS 3.0 Base Score 4.9) a un impact sur le sous-composant DML. Il affecte les versions jusqu'à 5.7.22. La vulnérabilité est facilement exploitable et permet un crash DoS répété.
CVE-2018-3062 (CVSS 3.0 Base Score 5.3) a un impact sur le sous-composant Memcached. Il affecte les versions jusqu'à 5.6.40, 5.7.22 et 8.0.11. La vulnérabilité est difficile à exploiter mais une attaque réussie peut permettre un crash DoS fréquemment répétable du serveur.
CVE-2018-3063 (CVSS 3.0 Base Score 4.9) a un impact sur le sous-composant Serveur: Sécurité: Privilèges. Il affecte les versions jusqu'à 5.5.60. Il est facilement exploitable et permet un crash DoS complet fréquemment répétable.
CVE-2018-3064 (CVSS 3.0 Base Score 7.1) a un impact sur le sous-composant InnoDB. Il affecte les versions jusqu'à 5.6.40, 5.7.22 et 8.0.11. Il est facilement exploitable et permet à un attaquant à faibles privilèges de mettre à jour, d'insérer ou de supprimer les données du serveur et de provoquer un crash DoS à plusieurs reprises.
CVE-2018-3065 (CVSS 3.0 Base Score 6.5) a un impact sur le sous-composant DML. Il affecte les versions jusqu'à 5.7.22 et 8.0.11. Exploit permet un crash DoS répété.
CVE-2018-3066 (CVSS 3.0 Base Score 3.3) a un impact sur le sous-composant Serveur: Options. Il affecte les versions jusqu'à 5.5.60, 5.6.40m et 5.7.22. La vulnérabilité difficile à exploiter permet d'accéder en lecture, mise à jour, insertion ou suppression aux données du serveur.
CVE-2018-3070 (CVSS 3.0 Base Score 6.5) affecte le sous-composant mysqldump du client. Il affecte les versions jusqu'à 5.5.60, 5.6.40 et 5.7.22. Exploit permet un crash DoS répétable.
CVE-2018-3071 (CVSS 3.0 Base Score 4.9) a un impact sur le sous-composant Journal d'audit. Il affecte les versions jusqu'à 5.7.22. L'exploitation de cette vulnérabilité permet à un attaquant de provoquer un crash DoS répétable.
CVE-2018-3077 (CVSS 3.0 Base Score 4.9) a un impact sur le sous-composant Serveur: DDL. Il affecte les versions jusqu'à 5.7.22 et 8.0.11. Exploit permet un crash DoS répétable.
CVE-2018-3081 (CVSS 3.0 Base Score 5.0) affecte le sous-composant Programmes Client du composant Client MySQL. Il affecte les versions jusqu'à 5.5.60, 5.6.40, 5.7.22 et 8.0.11. La vulnérabilité est difficile à exploiter, mais si elle est exploitée, elle permet de mettre à jour, d'insérer ou de supprimer l'accès aux données accessibles au client MySQL ainsi que la possibilité de provoquer un crash DoS répétable.
Selon les avis ( 1 / 2 ) publiés sur le site Web d'Ubuntu, pour résoudre les menaces posées par ces vulnérabilités, des mises à jour de packages ont été publiées pour les versions respectives d'Ubuntu. La mise à jour mysql-serveur-5.7 - 5.7.2.3-0ubuntu0.18.04.1 est pour Ubuntu 18.04 LTS et mysql-serveur-5.7 - 5.7.2.3-0ubuntu0.16.04.1 est pour Ubuntu 16.04 LTS. La mise à jour pour Ubuntu 14.04 LTS et Ubuntu 12.04 ESM est mysql-serveur-5.5 - 5.5.61-0ubuntu0.14.04.1 et mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Ces mises à jour sont disponibles sur le site Web pour téléchargement et installation directement.
Vous pouvez également ouvrir le gestionnaire de mise à jour pour le bureau et vérifier les mises à jour en attente sous l'onglet Paramètres. En cliquant sur les mises à jour et en procédant à l'installation, les correctifs seront appliqués. Sur un package update-notifier-common pour un serveur, vous pouvez rechercher des mises à jour avec les éléments suivants: «sudo apt-get update» et «sudo apt-get dist-upgrade». Autoriser les autorisations pour procéder aux mises à jour leur permet de s'installer directement.
