Oracle mySQL – Critical Patch Update – Januar 2016
This post might contain affiliate links. We may earn a commission if you click and make a purchase. Your support is appreciated!
Oracle hatte für seine Produktpalette am 10. November 2015 einen Security Alert veröffentlicht. => Security Alert for CVE-2015-4852, darauf basierend wurde nun auch ein bzw mehrere Critical Patch Updates als CPU Januar 2016 veröffentlicht, welche dringend empfohlen werden zu installieren. Mit diesem Januar Critical Patch Update werden insgesamt 248 „Schwachstellen“ in der Oracle Produktfamilie bereinigt, mehr Details zum Inhalt dieses Critical Patch Updates und anderen Oracle Security Aktivitäten findet man im entsprechenden Oracle Blogbeitrag auf https://blogs.oracle.com/security.
Die Oracle Database Produkte sind ebenso betroffen und es wird dringend empfohlen diese zu aktualisieren. Mehr Informationen zu dem Oracle Database CPU finden Sie hier.
Da mein Schwerpunkt neben dem Microsoft SQL Server eben auch auf dem mySQL Datenbank Server liegt, gibt es hier auch mehr Informationen rund um das Critical Patch Update für die folgenden MySQL-Versionen.
vom Critical Patch Update betroffene mySQL Versionen
- 5.5.46 und älter
- 5.6.27 und älter
- 5.7.9
Dieses Critical Patch Update enthält 22 neue Security Fixes für die Oracle mySQL Datenbank Engine. Es handelt sich um viele Schwachstellen meist mittleren Schweregrads (max. 7.2).
Da eine dieser Sicherheits-Lücken sich über das Netzwerk ohne Authentifizierung ausnutzen lässt, das heißt man kann über das Netzwerk ohne Notwendigkeit eines Benutzernamen und/oder Kennwort den mySQL Server nutzen bzw an dessen Daten gelangen, besteht dringender Handlungsbedarf.
Derzeit sind folgende MySQL-Versionen (Enterprise Edition) supportet:
(http://www.oracle.com/us/support/library/lifetime-support-technology-069183.pdf)
| mySQL Release | Veröffentlicht | Premium Support | Extended Support | Support-Ende |
| mySQL Database 5.5 | Dezember 2010 | Dezember 2015 | Dezember 2018 | Unbestimmt |
| mySQL Database 5.6 | Februar 2013 | Februar 2018 | Februar 2021 | Unbestimmt |
| mySQL Database 5.7 | Oktober 2015 | Oktober 2020 | Oktober 2023 | Unbestimmt |
Tragen Sie jetzt dazu bei, dass Ihre mySQL Server bzw Datenbanken sicher und auf einem aktuellen Patch-Level sind.
Ihre Applikationsbetreuer und Kunden werden es Ihnen danken !
Oracle MySQL Risk Matrix
| CVE# | Component | Protocol | Sub- component |
Remote Exploit without Auth.? | CVSS VERSION 2.0 RISK (see Risk Matrix Definitions) | Supported Versions Affected | Notes | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Base Score | Access Vector | Access Complexity | Authen- tication |
Confiden- tiality |
Integrity | Avail- ability |
|||||||
| CVE-2016-0546 | MySQL Server | None | Client | No | 7.2 | Local | Low | None | Complete | Complete | Complete | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 | See Note 1 |
| CVE-2016-0504 | MySQL Server | MySQL Protocol | Server: DML | No | 6.8 | Network | Low | Single | None | None | Complete | 5.6.27 and earlier, 5.7.9 | |
| CVE-2016-0505 | MySQL Server | MySQL Protocol | Server: Options | No | 6.8 | Network | Low | Single | None | None | Complete | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 | |
| CVE-2016-0594 | MySQL Server | MySQL Protocol | Server: DML | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.6.21 and earlier | |
| CVE-2016-0595 | MySQL Server | MySQL Protocol | Server: DML | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.6.27 and earlier | |
| CVE-2016-0503 | MySQL Server | MySQL Protocol | Server: DML | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.6.27 and earlier, 5.7.9 | |
| CVE-2016-0596 | MySQL Server | MySQL Protocol | Server: DML | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.5.46 and earlier, 5.6.27 and earlier | |
| CVE-2016-0502 | MySQL Server | MySQL Protocol | Server: Optimizer | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.5.31 and earlier, 5.6.11 and earlier | |
| CVE-2016-0597 | MySQL Server | MySQL Protocol | Server: Optimizer | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 | |
| CVE-2016-0611 | MySQL Server | MySQL Protocol | Server: Optimizer | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.6.27 and earlier, 5.7.9 | |
| CVE-2016-0616 | MySQL Server | MySQL Protocol | Server: Optimizer | No | 4.0 | Network | Low | Single | None | None | Partial+ | 5.5.46 and earlier | |
| CVE-2016-0598 | MySQL Server | MySQL Protocol | Server: DML | No | 3.5 | Network | Medium | Single | None | None | Partial+ | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 |
|
| CVE-2016-0600 | MySQL Server | MySQL Protocol | Server: InnoDB | No | 3.5 | Network | Medium | Single | None | None | Partial | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 |
|
| CVE-2016-0610 | MySQL Server | MySQL Protocol | Server: InnoDB | No | 3.5 | Network | Medium | Single | None | None | Partial+ | 5.6.27 and earlier | |
| CVE-2016-0599 | MySQL Server | MySQL Protocol | Server: Optimizer | No | 3.5 | Network | Medium | Single | None | None | Partial+ | 5.7.9 | |
| CVE-2016-0601 | MySQL Server | MySQL Protocol | Server: Partition | No | 3.5 | Network | Medium | Single | None | None | Partial+ | 5.7.9 | |
| CVE-2016-0606 | MySQL Server | MySQL Protocol | Server: Security: Encryption | No | 3.5 | Network | Medium | Single | None | Partial | None | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 |
|
| CVE-2016-0608 | MySQL Server | MySQL Protocol | Server: UDF | No | 3.5 | Network | Medium | Single | None | None | Partial+ | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 |
|
| CVE-2016-0607 | MySQL Server | MySQL Protocol | Server: Replication | No | 2.8 | Network | Medium | Multiple | None | None | Partial+ | 5.6.27 and earlier, 5.7.9 | |
| CVE-2015-7744 | MySQL Server | MySQL Protocol | Server: Security: Encryption | Yes | 2.6 | Network | High | None | Partial | None | None | 5.5.45 and earlier, 5.6.26 and earlier | |
| CVE-2016-0605 | MySQL Server | MySQL Protocol | Server: General | No | 2.1 | Network | High | Single | None | None | Partial+ | 5.6.26 and earlier | |
| CVE-2016-0609 | MySQL Server | MySQL Protocol | Server: Security: Privileges | No | 1.7 | Network | High | Multiple | None | None | Partial+ | 5.5.46 and earlier, 5.6.27 and earlier, 5.7.9 |
|
Noch weitere Details zu diesem Oracle mySQL Critical Patch Update Advisory – January 2016:
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html#AppendixMSQL
Ein Blick in die von uns betriebenen mySQL Datenbank Server Übersicht zeigte auch noch ältere im Einsatz befindliche mySQL Server Versionen, so dass ich auch noch mal den Hinweis hier bzw an meine Kunden weitergeben werde, das hier dringender Handlungsbedarf besteht, denn die mySQL Server Versionen kleiner 5.5 werden nicht mehr offiziell unterstützt.
Nun wünsche ich euch viel Spaß und Vergnügen bei der Rollout-Planung für das Oracle Critical Patch Update Januar 2016. 😉
This post might contain affiliate links. We may earn a commission if you click and make a purchase. Your support is appreciated!
Björn arbeitet auch weiterhin aus Mexiko als Senior Consultant – Microsoft Data Platform und Cloud für die Kramer&Crew in Köln. Auch der Community bleibt er aus der neuen Heimat treu, er engagiert sich auf Data Saturdays oder in unterschiedlichen Foren. Er interessiert sich neben den Themen rund um den SQL Server, Powershell und Azure SQL für Science-Fiction, Backen 😉 und Radfahren.
Amazon.com Empfehlungen
Damit ich auch meine Kosten für den Blog ein wenig senken kann, verwende ich auf diese Seite das Amazon.com Affiliate Programm, so bekomme ich - falls ihr ein Produkt über meinen Link kauft, eine kleine Provision (ohne zusätzliche Kosten für euch!).
Auto Amazon Links: Keine Produkte gefunden.
