„Oracle MySQL“
„Oracle MySQL“ serverio ir kliento komponentuose rasta penkiolika vidutinio prioriteto pažeidžiamumų. Pažeidimams buvo priskirtos CVE etiketės CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . Norint išnaudoti šias spragas reikia, kad užpuolikas gautų prieigą prie tinklo per kelis protokolus, kad pakenktų „MySQL“ serveriui.
CVE-2018-2767 (CVSS 3.0 bazinis balas 3.1) veikia serverį: sauga: šifravimo subkomponentas, veikiantis iki 5.5.60, 5.6.40 ir 5.7.22 versijas. Jei pažeidžiamumas bus išnaudotas, jis gali leisti neteisėtai skaityti prie užpuoliko.
CVE-2018-3054 (CVSS 3.0 bazinis balas 4.9) veikia „Server: DDL“ subkomponentą. Tai veikia visas versijas iki 5.7.22 ir 8.0.11. Šis pažeidžiamumas yra lengvai išnaudojamas ir leidžia užpuolikui pakartotinai sugadinti sistemą naudodamas DoS.
CVE-2018-3056 (CVSS 3.0 bazinis balas 4.3) daro įtaką serveriui: sauga: privilegijos. Tai veikia visas versijas iki 5.7.22 ir 8.0.11. Pažeidimas buvo pripažintas kaip lengvai išnaudojamas, suteikdamas užpuolikui neteisėtą skaitymo prieigą prie „MySQL Server“ skaitomų duomenų pogrupio.
CVE-2018-2058 (CVSS 3.0 bazinis balas 4.3) veikia „MyISAM“ subkomponentą. Tai veikia versijas iki 5.5.60, 5.6.40 ir 5.7.22. Vertinama, kad pažeidžiamumas yra lengvai išnaudojamas, suteikdamas užpuolikui neteisėtą atnaujinimą, įterpimą ar ištrynimą prieigą prie „MySQL“ serverio duomenų.
CVE-2018-3060 (CVSS 3.0 bazinis balas 6.5) daro įtaką „ImoDB“ subkomponentui. Tai turi įtakos versijoms iki 5.7.22 ir 8.0.11. Tai lengva naudoti, o sėkmingas išnaudojimas leidžia užpuolikui kurti, ištrinti ar modifikuoti svarbiausius serverio duomenis, taip pat pakartotinai sudužti sistemą su visišku DoS.
CVE-2018-3061 (CVSS 3.0 bazinis balas 4.9) daro įtaką DML subkomponentui. Tai turi įtakos versijoms iki 5.7.22. Pažeidžiamumas yra lengvai išnaudojamas ir leidžia pakartoti „DoS“ gedimą.
CVE-2018-3062 (CVSS 3.0 bazinis balas 5.3) daro įtaką „Memcached“ subkomponentui. Tai turi įtakos versijoms iki 5.6.40, 5.7.22 ir 8.0.11. Pažeidžiamumą sunku išnaudoti, tačiau sėkminga ataka gali leisti dažnai pakartotiną serverio „DoS“ gedimą.
CVE-2018-3063 (CVSS 3.0 bazinis balas 4.9) veikia serverį: sauga: Priveleges subkomponentas. Tai turi įtakos versijoms iki 5.5.60. Tai yra lengvai išnaudojama ir leidžia atlikti visą DoS, dažnai kartojamą, avariją.
CVE-2018-3064 (CVSS 3.0 bazinis balas 7.1) daro įtaką InnoDB subkomponentui. Tai turi įtakos versijoms iki 5.6.40, 5.7.22 ir 8.0.11. Tai lengvai išnaudojama ir leidžia mažai privilegijuotam užpuolikui atnaujinti, įterpti ar ištrinti serverio duomenis ir pakartotinai sukelti „DoS“ gedimą.
CVE-2018-3065 (CVSS 3.0 bazinis balas 6.5) daro įtaką DML subkomponentui. Tai turi įtakos versijoms iki 5.7.22 ir 8.0.11. „Exploit“ leidžia pakartotinai sudužti „DoS“.
CVE-2018-3066 (CVSS 3.0 bazinis balas 3.3) veikia „Server: Options“ subkomponentą. Tai veikia iki 5.5.60, 5.6.40m ir 5.7.22 versijas. Sunkiai išnaudojamas pažeidžiamumas leidžia skaityti, atnaujinti, įterpti ar ištrinti prieigą prie serverio duomenų.
CVE-2018-3070 (CVSS 3.0 bazinis balas 6.5) veikia kliento „mysqldump“ subkomponentą. Tai veikia versijas iki 5.5.60, 5.6.40 ir 5.7.22. „Exploit“ leidžia pakartoti DoS avariją.
CVE-2018-3071 (CVSS 3.0 bazinis balas 4.9) turi įtakos audito žurnalo subkomponentui. Tai turi įtakos versijoms iki 5.7.22. Išnaudojus šį pažeidžiamumą, užpuolikas gali sukelti pakartotiną DoS gedimą.
CVE-2018-3077 (CVSS 3.0 bazinis balas 4.9) veikia „Server: DDL“ subkomponentą. Tai turi įtakos versijoms iki 5.7.22 ir 8.0.11. „Exploit“ leidžia pakartoti „DoS“ avariją.
CVE-2018-3081 („CVSS 3.0 Base Score 5.0“) veikia „MySQL Client“ komponento „Client“ programų subkomponentą. Tai turi įtakos versijoms iki 5.5.60, 5.6.40, 5.7.22 ir 8.0.11. Pažeidžiamumą sunku išnaudoti, tačiau jei jis naudojamas, tai leidžia atnaujinti, įterpti ar ištrinti prieigą prie „MySQL Client“ prieinamų duomenų, taip pat galimybę sukelti pakartotiną „DoS“ gedimą.
Pagal patarimus ( 1 / 2 ), paskelbtą „Ubuntu“ svetainėje, siekiant išspręsti šių pažeidžiamumų keliamas grėsmes, buvo išleisti atitinkamų „Ubuntu“ versijų paketų atnaujinimai. Atnaujinimas „mysql-server-5.7“ - 5.7.2.3-0ubuntu0.18.04.1 yra skirta „Ubuntu 18.04 LTS“ ir „mysql-server-5.7“ - 5.7.2.3-0ubuntu0.16.04.1 skirtas „Ubuntu 16.04 LTS“. „Ubuntu 14.04 LTS“ ir „Ubuntu 12.04 ESM“ naujinimas yra mysql-server-5.5 - 5.5.61-0ubuntu0.14.04.1 ir mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Šiuos atnaujinimus galite rasti svetainėje, kuriuos galite tiesiogiai atsisiųsti ir įdiegti.
Taip pat galite atidaryti darbalaukio naujinimų tvarkytuvę ir patikrinti laukiančius naujinimus nustatymų skirtuke. Spustelėjus naujinimus ir tęsiant diegimą, bus pritaikyti pataisymai. Serverio „update-notifier-common“ pakete galite patikrinti, ar yra naujinimų: „sudo apt-get update“ ir „sudo apt-get dist-upgrade“. Leidę tęsti atnaujinimus, jie gali tiesiogiai juos įdiegti.
