CERTFR-2025-AVI-0054_Multiples vulnerabilites dans Oracle MySQL

AVIS CERT

CERT-FR

Publié le 22 janvier 2025 à 16h41 - Mis à jour le 13 février 2025 à 11h35

Objet

Multiples vulnérabilités dans Oracle MySQL

Référence

CERTFR-2025-AVI-0054

Risque(s)

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Déni de service à distance

Système(s) affecté(s)

MySQL Cluster version 7.6.32 et antérieures
MySQL Cluster version 8.0.40 et antérieures
MySQL Cluster version 8.4.3 et antérieures
MySQL Cluster version 9.1.0 et antérieures
MySQL Connectors (Connector/Python) version 9.1.0 et antérieures
MySQL Enterprise Backup version 8.0.40 et antérieures
MySQL Enterprise Backup version 8.4.3 et antérieures
MySQL Enterprise Backup version 9.1.0 et antérieures
MySQL Enterprise Firewall (Firewall) version 8.0.40 et antérieures
MySQL Enterprise Firewall (Firewall) version 8.4.3 et antérieures
MySQL Enterprise Firewall (Firewall) version 9.1.0 et antérieures
MySQL Server (InnoDB) version 8.0.40 et antérieures
MySQL Server (InnoDB) version 8.4.3 et antérieures
MySQL Server (InnoDB) version 9.1.0 et antérieures
MySQL Server (Server: Components Services) version 8.0.40 et antérieures
MySQL Server (Server: Components Services) version 8.4.3 et antérieures
MySQL Server (Server: Components Services) version 9.1.0 et antérieures
MySQL Server (Server: DDL) version 8.0.39 et antérieures
MySQL Server (Server: DDL) version 8.4.2 et antérieures
MySQL Server (Server: DDL) version 8.4.3 et antérieures
MySQL Server (Server: DDL) version 9.0.1 et antérieures
MySQL Server (Server: DDL) version 9.1.0 et antérieures
MySQL Server (Server: Information Schema) version 8.0.40 et antérieures
MySQL Server (Server: Information Schema) version 8.4.3 et antérieures
MySQL Server (Server: Information Schema) version 9.1.0 et antérieures
MySQL Server (Server: Optimizer) version 8.0.36 et antérieures
MySQL Server (Server: Optimizer) version 8.0.39 et antérieures
MySQL Server (Server: Optimizer) version 8.0.40 et antérieures
MySQL Server (Server: Optimizer) version 8.4.0
MySQL Server (Server: Optimizer) version 8.4.2 et antérieures
MySQL Server (Server: Optimizer) version 8.4.3 et antérieures
MySQL Server (Server: Optimizer) version 9.0.1 et antérieures
MySQL Server (Server: Optimizer) version 9.1.0 et antérieures
MySQL Server (Server: Options) version 8.0.40 et antérieures
MySQL Server (Server: Options) version 8.4.3 et antérieures
MySQL Server (Server: Options) version 9.1.0 et antérieures
MySQL Server (Server: Packaging) version 8.0.39 et antérieures
MySQL Server (Server: Packaging) version 8.0.40 et antérieures
MySQL Server (Server: Packaging) version 8.4.2 et antérieures
MySQL Server (Server: Packaging) version 8.4.3 et antérieures
MySQL Server (Server: Packaging) version 9.0.1 et antérieures
MySQL Server (Server: Packaging) version 9.1.0 et antérieures
MySQL Server (Server: Parser) version 8.0.40 et antérieures
MySQL Server (Server: Parser) version 8.4.3 et antérieures
MySQL Server (Server: Parser) version 9.1.0 et antérieures
MySQL Server (Server: Performance Schema) version 8.0.39 et antérieures
MySQL Server (Server: Performance Schema) version 8.4.2 et antérieures
MySQL Server (Server: Performance Schema) version 9.0.1 et antérieures
MySQL Server (Server: Security: Privileges) version 8.0.39 et antérieures
MySQL Server (Server: Security: Privileges) version 8.0.40 et antérieures
MySQL Server (Server: Security: Privileges) version 8.4.2 et antérieures
MySQL Server (Server: Security: Privileges) version 8.4.3 et antérieures
MySQL Server (Server: Security: Privileges) version 9.0.1 et antérieures
MySQL Server (Server: Security: Privileges) version 9.1.0 et antérieures
MySQL Server (Server: Thread Pooling) version 8.0.39 et antérieures
MySQL Server (Server: Thread Pooling) version 8.4.2 et antérieures
MySQL Server (Server: Thread Pooling) version 9.0.1 et antérieures

Résumé

De multiples vulnérabilités ont été découvertes dans Oracle MySQL. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Oracle MySQL cpujan2025 du 21 janvier 2025 : https://www.oracle.com/security-alerts/cpujan2025.html
Référence CVE CVE-2024-11053 : https://www.cve.org/CVERecord?id=CVE-2024-11053
Référence CVE CVE-2024-37370 : https://www.cve.org/CVERecord?id=CVE-2024-37370
Référence CVE CVE-2024-37371 : https://www.cve.org/CVERecord?id=CVE-2024-37371
Référence CVE CVE-2024-38819 : https://www.cve.org/CVERecord?id=CVE-2024-38819
Référence CVE CVE-2024-38820 : https://www.cve.org/CVERecord?id=CVE-2024-38820
Référence CVE CVE-2025-21490 : https://www.cve.org/CVERecord?id=CVE-2025-21490
Référence CVE CVE-2025-21491 : https://www.cve.org/CVERecord?id=CVE-2025-21491
Référence CVE CVE-2025-21492 : https://www.cve.org/CVERecord?id=CVE-2025-21492
Référence CVE CVE-2025-21493 : https://www.cve.org/CVERecord?id=CVE-2025-21493
Référence CVE CVE-2025-21494 : https://www.cve.org/CVERecord?id=CVE-2025-21494
Référence CVE CVE-2025-21495 : https://www.cve.org/CVERecord?id=CVE-2025-21495
Référence CVE CVE-2025-21497 : https://www.cve.org/CVERecord?id=CVE-2025-21497
Référence CVE CVE-2025-21499 : https://www.cve.org/CVERecord?id=CVE-2025-21499
Référence CVE CVE-2025-21500 : https://www.cve.org/CVERecord?id=CVE-2025-21500
Référence CVE CVE-2025-21501 : https://www.cve.org/CVERecord?id=CVE-2025-21501
Référence CVE CVE-2025-21503 : https://www.cve.org/CVERecord?id=CVE-2025-21503
Référence CVE CVE-2025-21504 : https://www.cve.org/CVERecord?id=CVE-2025-21504
Référence CVE CVE-2025-21505 : https://www.cve.org/CVERecord?id=CVE-2025-21505
Référence CVE CVE-2025-21518 : https://www.cve.org/CVERecord?id=CVE-2025-21518
Référence CVE CVE-2025-21519 : https://www.cve.org/CVERecord?id=CVE-2025-21519
Référence CVE CVE-2025-21520 : https://www.cve.org/CVERecord?id=CVE-2025-21520
Référence CVE CVE-2025-21521 : https://www.cve.org/CVERecord?id=CVE-2025-21521
Référence CVE CVE-2025-21522 : https://www.cve.org/CVERecord?id=CVE-2025-21522
Référence CVE CVE-2025-21523 : https://www.cve.org/CVERecord?id=CVE-2025-21523
Référence CVE CVE-2025-21525 : https://www.cve.org/CVERecord?id=CVE-2025-21525
Référence CVE CVE-2025-21529 : https://www.cve.org/CVERecord?id=CVE-2025-21529
Référence CVE CVE-2025-21531 : https://www.cve.org/CVERecord?id=CVE-2025-21531
Référence CVE CVE-2025-21534 : https://www.cve.org/CVERecord?id=CVE-2025-21534
Référence CVE CVE-2025-21536 : https://www.cve.org/CVERecord?id=CVE-2025-21536
Référence CVE CVE-2025-21540 : https://www.cve.org/CVERecord?id=CVE-2025-21540
Référence CVE CVE-2025-21543 : https://www.cve.org/CVERecord?id=CVE-2025-21543
Référence CVE CVE-2025-21546 : https://www.cve.org/CVERecord?id=CVE-2025-21546
Référence CVE CVE-2025-21548 : https://www.cve.org/CVERecord?id=CVE-2025-21548
Référence CVE CVE-2025-21555 : https://www.cve.org/CVERecord?id=CVE-2025-21555
Référence CVE CVE-2025-21559 : https://www.cve.org/CVERecord?id=CVE-2025-21559
Référence CVE CVE-2025-21566 : https://www.cve.org/CVERecord?id=CVE-2025-21566
Référence CVE CVE-2025-21567 : https://www.cve.org/CVERecord?id=CVE-2025-21567

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0054/