L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

bulletin de faille CVE-2015-2582 CVE-2015-2611 CVE-2015-2617

Oracle MySQL : multiples vulnérabilités de juillet 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle MySQL ont été annoncées en juillet 2015.
Gravité de cette alerte : 2/4.
Nombre de vulnérabilités dans ce bulletin : 18.
Date création : 15/07/2015.
Références de cette alerte : bulletinapr2016, bulletinapr2017, bulletinjul2016, CERTFR-2015-AVI-304, CERTFR-2015-AVI-431, CERTFR-2016-AVI-300, cpujul2015, CVE-2015-2582, CVE-2015-2611, CVE-2015-2617, CVE-2015-2620, CVE-2015-2639, CVE-2015-2641, CVE-2015-2643, CVE-2015-2648, CVE-2015-2661, CVE-2015-4737, CVE-2015-4752, CVE-2015-4756, CVE-2015-4757, CVE-2015-4761, CVE-2015-4767, CVE-2015-4769, CVE-2015-4771, CVE-2015-4772, DSA-3308-1, FEDORA-2015-12544, FEDORA-2015-12570, FEDORA-2015-13482, JSA10698, openSUSE-SU-2015:1629-1, RHSA-2015:1628-01, RHSA-2015:1629-01, RHSA-2015:1630-01, RHSA-2015:1646-01, RHSA-2015:1647-01, RHSA-2015:1665-01, USN-2674-1, VIGILANCE-VUL-17375.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle MySQL.

Un attaquant peut employer une vulnérabilité de Server : Partition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-2617]

Un attaquant peut employer une vulnérabilité de Server : DML, afin de mener un déni de service. [grav:2/4; CVE-2015-2648]

Un attaquant peut employer une vulnérabilité de Server : DML, afin de mener un déni de service. [grav:2/4; CVE-2015-2611]

Un attaquant peut employer une vulnérabilité de Server : GIS, afin de mener un déni de service. [grav:2/4; CVE-2015-2582]

Un attaquant peut employer une vulnérabilité de Server : I_S, afin de mener un déni de service. [grav:2/4; CVE-2015-4752]

Un attaquant peut employer une vulnérabilité de Server : InnoDB, afin de mener un déni de service. [grav:2/4; CVE-2015-4756]

Un attaquant peut employer une vulnérabilité de Server : Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2015-2643]

Un attaquant peut employer une vulnérabilité de Server : Partition, afin de mener un déni de service. [grav:2/4; CVE-2015-4772]

Un attaquant peut employer une vulnérabilité de Server : Memcached, afin de mener un déni de service. [grav:2/4; CVE-2015-4761]

Un attaquant peut employer une vulnérabilité de Server : Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2015-4757]

Un attaquant peut employer une vulnérabilité de Server : Pluggable Auth, afin d'obtenir des informations. [grav:2/4; CVE-2015-4737]

Un attaquant peut employer une vulnérabilité de Server : RBR, afin de mener un déni de service. [grav:2/4; CVE-2015-4771]

Un attaquant peut employer une vulnérabilité de Server : Security : Firewall, afin de mener un déni de service. [grav:2/4; CVE-2015-4769]

Un attaquant peut employer une vulnérabilité de Server : Security : Firewall, afin d'altérer des informations. [grav:2/4; CVE-2015-2639]

Un attaquant peut employer une vulnérabilité de Server : Security : Privileges, afin d'obtenir des informations. [grav:2/4; CVE-2015-2620]

Un attaquant peut employer une vulnérabilité de Server : Security : Privileges, afin de mener un déni de service. [grav:2/4; CVE-2015-2641]

Un attaquant peut employer une vulnérabilité de Client, afin de mener un déni de service. [grav:1/4; CVE-2015-2661]

Un attaquant peut employer une vulnérabilité de Server : Security : Firewall, afin de mener un déni de service. [grav:1/4; CVE-2015-4767]
Bulletin Vigil@nce complet... (Essai gratuit)

Cet avis cybersécurité concerne les logiciels ou systèmes comme Debian, Fedora, Junos Space, MariaDB ~ précis, MySQL Community, MySQL Enterprise, openSUSE, Solaris, Percona Server, RHEL, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 18 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette menace cyber-sécurité.

Solutions pour cette menace

Oracle MySQL : CPU de juillet 2015.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2024204.1

Debian : nouveaux paquetages mysql-5.5.
De nouveaux paquetages sont disponibles :
  Debian 7 : mysql-5.5 5.5.44-0+deb7u1
  Debian 8 : mysql-5.5 5.5.44-0+deb8u1

Fedora 21 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  Fedora 21 : mariadb 10.0.21-1.fc21

Fedora : nouveaux paquetages community-mysql.
De nouveaux paquetages sont disponibles :
  Fedora 21 : community-mysql 5.6.26-1.fc21
  Fedora 22 : community-mysql 5.6.26-1.fc22

Juniper Junos Space : version 15.1R1.
La version 15.1R1 est corrigée :
  http://www.juniper.net/support/downloads/?p=space#sw

openSUSE : nouveaux paquetages mysql-community-server.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : mysql-community-server 5.6.26-7.10.1
  openSUSE 13.2 : mysql-community-server 5.6.26-2.9.1

Oracle Solaris : patch pour logiciels tiers de avril 2017 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de avril 2017 v4.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Percona Server : version 5.5.45-37.4.
La version 5.5.45-37.4 est corrigée :
  https://www.percona.com/downloads/Percona-Server-5.5/

Percona Server : version 5.6.25-73.1.
La version 5.6.25-73.1 est corrigée :
  http://www.percona.com/downloads/Percona-Server-5.6/Percona-Server-5.6.25-73.1/

Percona XtraDB Cluster : version 5.6.25-25.12.
La version 5.6.25-25.12 est corrigée :
  https://www.percona.com/downloads/

RHEL 5 : nouveaux paquetages mysql55-mysql.
De nouveaux paquetages sont disponibles :
  RHEL 5 : mysql55-mysql 5.5.45-1.el5
  RHEL 6 : mysql55-mysql 5.5.45-1.el6
  RHEL 7 : mysql55-mysql 5.5.45-1.el7

RHEL 6, 7 : nouveaux paquetages mysql55-mysql.
De nouveaux paquetages sont disponibles :
  RHEL 6 : mysql55-mysql 5.5.45-1.el6
  RHEL 7 : mysql55-mysql 5.5.45-1.el7

RHEL 7.1 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  RHEL 7 : mariadb 5.5.44-1.el7_1

RHEL : nouveaux paquetages mariadb55-mariadb.
De nouveaux paquetages sont disponibles :
  RHEL 6 : mariadb55-mariadb 5.5.44-1.el6
  RHEL 7 : mariadb55-mariadb 5.5.44-1.el7

RHEL : nouveaux paquetages rh-mariadb100-mariadb.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rh-mariadb100-mariadb 10.0.20-1.el6
  RHEL 7 : rh-mariadb100-mariadb 10.0.20-1.el7

RHEL : nouveaux paquetages rh-mysql56-mysql.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rh-mysql56-mysql 5.6.26-1.el6

Solaris : patch pour logiciels tiers 04/2016.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Solaris : patch pour logiciels tiers de juillet 2016 v4.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Ubuntu : nouveaux paquetages mysql-server-5.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : mysql-server-5.6 5.6.25-0ubuntu0.15.04.1
  Ubuntu 14.10 : mysql-server-5.5 5.5.44-0ubuntu0.14.10.1
  Ubuntu 14.04 LTS : mysql-server-5.5 5.5.44-0ubuntu0.14.04.1
  Ubuntu 12.04 LTS : mysql-server-5.5 5.5.44-0ubuntu0.12.04.1
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des avis de vulnérabilités de systèmes. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.