Sicherheitslücke: MariaDB 10.3 CVE-2021-27928 (Debian 10)

matz

Active Member
Diese Lücke sieht nun wirklich nicht gut aus. Nach dem letzten Update auf ISPC 3.2.4 steht die MariaDB-Version auf 10.3.27. Eine Lösung wäre womöglich die Version 10.3.28 oder die 10.5 von bullseye. Läuft damit alles wie gewohnt weiter oder kann es Probleme geben?
 

Till

Administrator

Laut Beschreibung betrifft es ja nur den datenbank super user, das wäre dann mysql root user. Sprich mysql root könnte Befehle außerhalb von mysql ausführen, das ist nicht schön und sollte schnell behoben werden aber eben auch für die meistens etups nicht so dramatisch. Den mysql root account hat an sich nur der server administrator, d.h. Kunden oder website owner können da eh nichts machen.

Nach dem letzten Update auf ISPC 3.2.4 steht die MariaDB-Version auf 10.3.27.

ISPConfig hat mit der MariaDB Version nichts zu tun. Das MariaDB Paket kommt vom OS, also Debian.

Eine Lösung wäre womöglich die Version 10.3.28 oder die 10.5 von bullseye.

10.3.28 wird vermutlich laufen, bei 10.5 wäre ich mir nicht sicher. Aber Debian wird da mit Sicherheit schnell eine abgesicherte Version raus bringen und das wird dann sicher eine patch version sein, also ikmmer noch 10.3.27 aber ohne den fehler, das heißt Du musst nicht auf die Version schauen die der mysql befehl zurück gibt, sondern welches Debian paket installiert ist, das wird dann vermutlich sowas wie 10.3.27-0+deb10u2 sein.
 
Zuletzt bearbeitet:

matz

Active Member
Laut Beschreibung betrifft es ja nur den datenbank super user, das wäre dann mysql root user. (...)

So habe ich das auch verstanden. Demnach wäre es nur dann kritisch, wenn ein Angreifer das root-Passwort kennt oder errät und sich als root anmeldet. Das sah ich auch nicht so kritisch. Einen Hinweis war es mir hier dennoch wert. Man weiß es nie wie der jeweilige Server eingerichtet ist und manche Passwörter sind schon ziemlich wertlos.

Bei mir läuft die 10.3.27+deb10u1, nur fühle ich mich nicht so betroffen von dieser Lücke, auch wenn ich auf ein Sicherheitspatch hoffe.
 

Werbung

Top