Oracle MySQL
Se han encontrado quince vulnerabilidades de prioridad media en los componentes de servidor y cliente de la plataforma Oracle MySQL. A las vulnerabilidades se les han asignado las etiquetas CVE CVE-2018-2767 , CVE-2018-3054 , CVE-2018-3056 , CVE-2018-3058 , CVE-2018-3060 , CVE-2018-3061 , CVE-2018-3062 , CVE-2018-3063 , CVE-2018-3064 , CVE-2018-3065 , CVE-2018-3066 , CVE-2018-3070 , CVE-2018-3071 , CVE-2018-3077 , CVE-2018-3081 . La explotación de estas vulnerabilidades requiere que el atacante obtenga acceso a la red a través de múltiples protocolos para comprometer el servidor MySQL.
CVE-2018-2767 (CVSS 3.0 Base Score 3.1) afecta al subcomponente Servidor: Seguridad: Cifrado que afecta a las versiones hasta 5.5.60, 5.6.40 y 5.7.22. Si se explota la vulnerabilidad, puede permitir el acceso de lectura no autorizado al atacante.
CVE-2018-3054 (CVSS 3.0 Base Score 4.9) afecta al subcomponente Server: DDL. Afecta a todas las versiones hasta 5.7.22 y 8.0.11. Esta vulnerabilidad es fácilmente explotable y permite que un atacante pueda bloquear repetidamente el sistema con un DoS.
CVE-2018-3056 (CVSS 3.0 Base Score 4.3) afecta al subcomponente Servidor: Seguridad: Privilegios. Afecta a todas las versiones hasta 5.7.22 y 8.0.11. Se ha dictaminado que la vulnerabilidad es fácilmente explotable, lo que le da al atacante acceso de lectura no autorizado a un subconjunto de datos legibles de MySQL Server.
CVE-2018-2058 (CVSS 3.0 Base Score 4.3) afecta el subcomponente MyISAM. Afecta a las versiones hasta 5.5.60, 5.6.40 y 5.7.22. Se evalúa que la vulnerabilidad se puede explotar fácilmente, lo que otorga a un atacante acceso no autorizado a actualizar, insertar o eliminar a los datos del servidor MySQL.
CVE-2018-3060 (CVSS 3.0 Base Score 6.5) impacta en el subcomponente ImoDB. Afecta a las versiones hasta 5.7.22 y 8.0.11. Es fácilmente explotable y un exploit exitoso permite a un atacante crear, eliminar o modificar datos críticos del servidor, así como bloquear repetidamente el sistema con un DoS completo.
CVE-2018-3061 (CVSS 3.0 Base Score 4.9) afecta el subcomponente DML. Afecta a versiones hasta 5.7.22. La vulnerabilidad se puede explotar fácilmente y permite una caída repetida de DoS.
CVE-2018-3062 (CVSS 3.0 Base Score 5.3) afecta el subcomponente Memcached. Afecta a las versiones hasta 5.6.40, 5.7.22 y 8.0.11. La vulnerabilidad es difícil de explotar, pero un ataque exitoso puede permitir una caída repetida del servidor por DoS.
CVE-2018-3063 (CVSS 3.0 Base Score 4.9) afecta al subcomponente Servidor: Seguridad: Priveleges. Afecta a versiones hasta 5.5.60. Es fácilmente explotable y permite un bloqueo de DoS completo y repetible con frecuencia.
CVE-2018-3064 (CVSS 3.0 Base Score 7.1) impacta en el subcomponente InnoDB. Afecta a las versiones hasta 5.6.40, 5.7.22 y 8.0.11. Es fácilmente explotable y permite que un atacante con pocos privilegios actualice, inserte o elimine datos del servidor y provoque un bloqueo de DoS repetidamente.
CVE-2018-3065 (CVSS 3.0 Base Score 6.5) impacta el subcomponente DML. Afecta a las versiones hasta 5.7.22 y 8.0.11. Exploit permite fallas repetidas de DoS.
CVE-2018-3066 (CVSS 3.0 Base Score 3.3) afecta al subcomponente Server: Options. Afecta a versiones hasta 5.5.60, 5.6.40m y 5.7.22. La vulnerabilidad difícil de explotar permite leer, actualizar, insertar o eliminar el acceso a los datos del servidor.
CVE-2018-3070 (CVSS 3.0 Base Score 6.5) impacta en el subcomponente cliente mysqldump. Afecta a las versiones hasta 5.5.60, 5.6.40 y 5.7.22. Exploit permite fallos repetibles de DoS.
CVE-2018-3071 (CVSS 3.0 Base Score 4.9) afecta el subcomponente del Registro de auditoría. Afecta a versiones hasta 5.7.22. La explotación de esta vulnerabilidad permite a un atacante provocar fallos repetibles de DoS.
CVE-2018-3077 (CVSS 3.0 Base Score 4.9) afecta al subcomponente Server: DDL. Afecta a las versiones hasta 5.7.22 y 8.0.11. Exploit permite fallos repetibles de DoS.
CVE-2018-3081 (CVSS 3.0 Base Score 5.0) afecta el subcomponente de programas del cliente del componente del cliente MySQL. Afecta a las versiones hasta 5.5.60, 5.6.40, 5.7.22 y 8.0.11. La vulnerabilidad es difícil de explotar, pero si se explota permite actualizar, insertar o eliminar el acceso a los datos accesibles del cliente MySQL, así como la capacidad de provocar fallos repetibles de DoS.
Según las advertencias ( 1 / 2 ) publicado en el sitio web de Ubuntu, para resolver las amenazas planteadas por estas vulnerabilidades, se han lanzado actualizaciones de paquetes para las respectivas versiones de Ubuntu. La actualización mysql-server-5.7 – 5.7.2.3-0ubuntu0.18.04.1 es para Ubuntu 18.04 LTS y mysql-server-5.7 – 5.7.2.3-0ubuntu0.16.04.1 es para Ubuntu 16.04 LTS. La actualización para Ubuntu 14.04 LTS y Ubuntu 12.04 ESM es mysql-server-5.5 – 5.5.61-0ubuntu0.14.04.1 y mysql-server-5.5 - 5.5.61-0ubuntu0.12.04.1 . Estas actualizaciones están disponibles en el sitio web para descargar e instalar directamente.
También puede abrir Update Manager para escritorio y verificar las actualizaciones pendientes en la pestaña de configuración. Al hacer clic en las actualizaciones y proceder a la instalación, se aplicarán los parches. En un paquete update-notifier-common para un servidor, puede buscar actualizaciones con lo siguiente: 'sudo apt-get update' y 'sudo apt-get dist-upgrade'. Permitir que los permisos continúen con las actualizaciones les permite instalarlas directamente.
