Beveiligingsupdate voor Oracle MySQL

Oracle heeft onlangs meerdere kwetsbaarheden verholpen in hun MySQL-databasesysteem. Deze kwetsbaarheden hadden de potentie om aanzienlijke schade te veroorzaken, waaronder het uitvoeren van denial-of-service-aanvallen en ongeautoriseerde toegang tot gevoelige gegevens. Met voldoende rechten kon zelfs de werking van de MySQL-server beïnvloed worden.

Belangrijke Details

• Risiconiveau: Medium
• Impactniveau: Hoog

Kenmerken van de Kwetsbaarheden

De opgeloste kwetsbaarheden omvatten het volgende:

1. Incorrecte Autorisatie: Ongeautoriseerde gebruikers konden toegang krijgen tot functies of gegevens die buiten hun rechte lagen.
2. Verborgen Tijdsafhankelijke Kanalen: Maatregelen om de tijd die het kostte om toegang te krijgen tot gevoelige informatie te beperken, waren niet effectief.
3. Ongecontroleerde Recursie: Deze toestand kon leiden tot crashen van het systeem door stack-overflow.
4. Onvoldoende Invoercontrole: Invoer van gebruikers werd niet adequaat gevalideerd, wat tot misbruik kon leiden.
5. Verkeerde Standaardmachtigingen: Ongepaste machtigingen waren standaard ingesteld, wat de beveiliging kon compromitteren.
6. Onbeheerst Verbruik van Middelen: Kwetsbaarheden die konden leiden tot overbelaste resources.
7. Onjuiste Beperking van XML Externe Entiteit Referentie: Dit kan informatielekken en aanvallen op XML-verwerking veroorzaken.

Omschrijving van de Oplossing

Oracle heeft updates uitgebracht om deze kwetsbaarheden aan te pakken. Gebruikers wordt aangeraden om zo snel mogelijk hun MySQL-systemen bij te werken om verzekerd te zijn van een veilige en betrouwbare werking. Bekijk de details van deze updates hier.

Wat moet u doen?

• Updates Installeren: Zorg dat u de nieuwste beveiligingspatches installeert om ervoor te zorgen dat uw systemen beschermd zijn tegen bekende bedreigingen.
• CVE’s: Er zijn specifieke referenties (CVE’s) gekoppeld aan deze problematiek waarmee professionals dieper inzicht kunnen krijgen in de aard van de kwetsbaarheden. Hieronder enkele voorbeelden:
  • CVE-2024-7254
  • CVE-2025-21579

Platforms en Versies

De getroffen MySQL-versies zijn onder meer vanaf 8.0.0 tot en met 8.0.41, en verder. Voor de volledige lijst met versies en getroffen producten, kunt u de volledige advisory raadplegen.

Disclaimer

Deze beveiligingsadvies is samengesteld door het NCSC met aandacht voor nauwkeurigheid. Toch kan het NCSC niet garanderen dat de informatie volledig of actueel is. Het gebruik van deze adviezen is op eigen risico en het NCSC aanvaardt geen aansprakelijkheid voor eventuele schade die ontstaat door het gebruik van de verstrekte informatie. Alle juridische kwesties die voortvloeien uit het gebruik van deze adviezen worden beheerd volgens Nederlands recht, uitsluitend voorgelegd aan de rechtbank in Den Haag.

Door gebruikers wordt verwacht dat ze relevante updates volgen en de nodige maatregelen treffen om hun systemen te beveiligen in overeenstemming met deze mededeling.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----