NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in Oracle MySQL
Advisory ID     : NCSC-2019-0566
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2018-15756, CVE-2019-1559, CVE-2019-2730,
                  CVE-2019-2731, CVE-2019-2737, CVE-2019-2738,
                  CVE-2019-2739, CVE-2019-2740, CVE-2019-2741,
                  CVE-2019-2743, CVE-2019-2746, CVE-2019-2747,
                  CVE-2019-2752, CVE-2019-2755, CVE-2019-2757,
                  CVE-2019-2758, CVE-2019-2774, CVE-2019-2778,
                  CVE-2019-2780, CVE-2019-2784, CVE-2019-2785,
                  CVE-2019-2789, CVE-2019-2791, CVE-2019-2795,
                  CVE-2019-2796, CVE-2019-2797, CVE-2019-2798,
                  CVE-2019-2800, CVE-2019-2801, CVE-2019-2802,
                  CVE-2019-2803, CVE-2019-2805, CVE-2019-2808,
                  CVE-2019-2810, CVE-2019-2811, CVE-2019-2812,
                  CVE-2019-2814, CVE-2019-2815, CVE-2019-2819,
                  CVE-2019-2822, CVE-2019-2826, CVE-2019-2830,
                  CVE-2019-2834, CVE-2019-2879, CVE-2019-3822
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Manipulatie van gegevens
                  (Remote) code execution (Administrator/Root rechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20190725
Toepassing      : Oracle MySQL
Versie(s)       :
Platform(s)     : Ubuntu

Update
   Ubuntu heeft updates beschikbaar gesteld voor MySQL. Zie "Mogelijke
   oplossingen" voor meer informatie.

Beschrijving
   Er bevinden zich meerdere kwetsbaarheden in Oracle MySQL. Deze
   kwetsbaarheden kunnen mogelijk leiden tot toegang tot gevoelige
   gegevens, een Denial-of-Service of het uitvoeren van willekeurige
   code op afstand (overname van het systeem).

   De belangrijkste kwetsbaarheid betreft het ongeauthenticeerd
   overnemen van een MySQL server op afstand.

   Hieronder staat een overzicht van de verschillende kwetsbaarheden
   beschreven per product.

   |----------------|------|---------------------------|
   | CVE-ID         | CVSS | Product                   |
   |----------------|------|---------------------------|
   | CVE-2018-15756 | 7,50 | MySQL Enterprise Monitor  |
   | CVE-2019-1559  | 5,90 | MySQL Workbench           |
   | CVE-2019-2730  | 2,70 | MySQL Server              |
   | CVE-2019-2731  | 5,40 | MySQL Server              |
   | CVE-2019-2737  | 4,90 | MySQL Server              |
   | CVE-2019-2738  | 3,10 | MySQL Server              |
   | CVE-2019-2739  | 5,10 | MySQL Server              |
   | CVE-2019-2740  | 6,50 | MySQL Server              |
   | CVE-2019-2741  | 5,30 | MySQL Server              |
   | CVE-2019-2743  | 5,30 | MySQL Server              |
   | CVE-2019-2746  | 6,50 | MySQL Server              |
   | CVE-2019-2747  | 4,90 | MySQL Server              |
   | CVE-2019-2752  | 4,90 | MySQL Server              |
   | CVE-2019-2755  | 4,90 | MySQL Server              |
   | CVE-2019-2757  | 4,90 | MySQL Server              |
   | CVE-2019-2758  | 5,50 | MySQL Server              |
   | CVE-2019-2774  | 4,90 | MySQL Server              |
   | CVE-2019-2778  | 5,40 | MySQL Server              |
   | CVE-2019-2780  | 4,90 | MySQL Server              |
   | CVE-2019-2784  | 4,90 | MySQL Server              |
   | CVE-2019-2785  | 4,90 | MySQL Server              |
   | CVE-2019-2789  | 2,70 | MySQL Server              |
   | CVE-2019-2791  | 3,80 | MySQL Server              |
   | CVE-2019-2795  | 6,50 | MySQL Server              |
   | CVE-2019-2796  | 4,90 | MySQL Server              |
   | CVE-2019-2797  | 4,20 | MySQL Server              |
   | CVE-2019-2798  | 4,90 | MySQL Server              |
   | CVE-2019-2800  | 7,10 | MySQL Server              |
   | CVE-2019-2801  | 4,90 | MySQL Server              |
   | CVE-2019-2802  | 4,90 | MySQL Server              |
   | CVE-2019-2803  | 4,90 | MySQL Server              |
   | CVE-2019-2805  | 6,50 | MySQL Server              |
   | CVE-2019-2808  | 4,90 | MySQL Server              |
   | CVE-2019-2810  | 4,90 | MySQL Server              |
   | CVE-2019-2811  | 4,90 | MySQL Server              |
   | CVE-2019-2812  | 6,50 | MySQL Server              |
   | CVE-2019-2814  | 2,20 | MySQL Server              |
   | CVE-2019-2815  | 4,90 | MySQL Server              |
   | CVE-2019-2819  | 5,50 | MySQL Server              |
   | CVE-2019-2822  | 7,50 | MySQL Server              |
   | CVE-2019-2826  | 4,90 | MySQL Server              |
   | CVE-2019-2830  | 4,90 | MySQL Server              |
   | CVE-2019-2834  | 6,50 | MySQL Server              |
   | CVE-2019-2879  | 4,90 | MySQL Server              |
   | CVE-2019-3822  | 9,80 | MySQL Server              |
   |----------------|------|---------------------------|

Mogelijke oplossingen
   Oracle heeft updates beschikbaar gesteld waarmee de beschreven
   kwetsbaarheden worden verholpen. We raden u aan om deze updates te
   installeren. Meer informatie over de kwetsbaarheden, de installatie
   van de updates en eventuele work-arounds vindt u op:

   https://www.oracle.com/technetwork/security-advisory
      /cpujul2019-5072835.html

   -= Ubuntu =-
   Canonical heeft updates beschikbaar gesteld voor Ubuntu 16.04 LTS,
   18.04 LTS en 19.04 om de kwetsbaarheden met kenmerk CVE-2019-2737,
   CVE-2019-2738, CVE-2019-2739, CVE-2019-2740, CVE-2019-2741,
   CVE-2019-2757, CVE-2019-2758, CVE-2019-2774, CVE-2019-2778,
   CVE-2019-2791, CVE-2019-2797, CVE-2019-2805 en CVE-2019-2819 te
   verhelpen. U kunt de aangepaste packages installeren door gebruik te
   maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
   kunt u vinden op onderstaande pagina:

   https://usn.ubuntu.com/4070-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
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=Cc0V
-----END PGP SIGNATURE-----