๐ Oracle MySQL Server bis 5.5.46 Optimizer Denial of Service
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80594
Betroffen: Oracle MySQL Server bis 5.5.46
Veröffentlicht: 20.01.2016
Risiko: problematisch
Erstellt: 21.01.2016
Eintrag: 68.3% komplett
Beschreibung
Eine problematische Schwachstelle wurde in Oracle MySQL Server bis 5.5.46 ausgemacht. Hierbei geht es um eine unbekannte Funktion der Komponente Optimizer. Durch Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf die Verfügbarkeit.
Die Schwachstelle wurde am 20.01.2016 als Oracle Critical Patch Update Advisory – January 2016 in Form eines bestätigten Advisories (Website) veröffentlicht. Auf oracle.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2016-0616 statt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Oracle hat entsprechend unmittelbar reagiert. Die Einträge 80389, 80392, 80393 und 80394 sind sehr ähnlich.CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:C) [?]
CPE
- cpe:/a:oracle:mysql_server:5.5.0
- cpe:/a:oracle:mysql_server:5.5.1
- cpe:/a:oracle:mysql_server:5.5.2
- cpe:/a:oracle:mysql_server:5.5.3
- cpe:/a:oracle:mysql_server:5.5.4
- cpe:/a:oracle:mysql_server:5.5.5
- cpe:/a:oracle:mysql_server:5.5.6
- cpe:/a:oracle:mysql_server:5.5.7
- cpe:/a:oracle:mysql_server:5.5.8
- cpe:/a:oracle:mysql_server:5.5.9
- cpe:/a:oracle:mysql_server:5.5.10
- cpe:/a:oracle:mysql_server:5.5.11
- cpe:/a:oracle:mysql_server:5.5.12
- cpe:/a:oracle:mysql_server:5.5.13
- cpe:/a:oracle:mysql_server:5.5.14
- cpe:/a:oracle:mysql_server:5.5.15
- cpe:/a:oracle:mysql_server:5.5.16
- cpe:/a:oracle:mysql_server:5.5.17
- cpe:/a:oracle:mysql_server:5.5.18
- cpe:/a:oracle:mysql_server:5.5.19
- cpe:/a:oracle:mysql_server:5.5.20
- cpe:/a:oracle:mysql_server:5.5.21
- cpe:/a:oracle:mysql_server:5.5.22
- cpe:/a:oracle:mysql_server:5.5.23
- cpe:/a:oracle:mysql_server:5.5.24
- cpe:/a:oracle:mysql_server:5.5.25
- cpe:/a:oracle:mysql_server:5.5.26
- cpe:/a:oracle:mysql_server:5.5.27
- cpe:/a:oracle:mysql_server:5.5.28
- cpe:/a:oracle:mysql_server:5.5.29
- cpe:/a:oracle:mysql_server:5.5.30
- cpe:/a:oracle:mysql_server:5.5.31
- cpe:/a:oracle:mysql_server:5.5.32
- cpe:/a:oracle:mysql_server:5.5.33
- cpe:/a:oracle:mysql_server:5.5.34
- cpe:/a:oracle:mysql_server:5.5.35
- cpe:/a:oracle:mysql_server:5.5.36
- cpe:/a:oracle:mysql_server:5.5.37
- cpe:/a:oracle:mysql_server:5.5.38
- cpe:/a:oracle:mysql_server:5.5.39
- cpe:/a:oracle:mysql_server:5.5.40
- cpe:/a:oracle:mysql_server:5.5.41
- cpe:/a:oracle:mysql_server:5.5.42
- cpe:/a:oracle:mysql_server:5.5.43
- cpe:/a:oracle:mysql_server:5.5.44
- cpe:/a:oracle:mysql_server:5.5.45
- cpe:/a:oracle:mysql_server:5.5.46
Exploiting
Klasse: Denial of Service
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
20.01.2016 | Advisory veröffentlicht
20.01.2016 | Gegenmassnahme veröffentlicht
21.01.2016 | VulDB Eintrag erstellt
Quellen
Advisory: Oracle Critical Patch Update Advisory – January 2016
Status: Bestätigt
CVE: CVE-2016-0616 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 80389, 80392, 80393, 80394, 80395, 80396, 80397, 80398, 80399, 80400, 80401, 80402, 80403 , 80556
...