RootForum Community

Posted: **2018-10-25 14:32**

Die Liste wird täglich länger, gibt es ein Spontan-Lösung? FreeBSD 11.2.

vulnxml file up-to-date
mysql57-server-5.7.23_1 is vulnerable:
MySQL -- multiple vulnerabilities
CVE: CVE-2018-3286
CVE: CVE-2018-3283
CVE: CVE-2018-3284
CVE: CVE-2018-3282
CVE: CVE-2018-3279
CVE: CVE-2018-3278
CVE: CVE-2018-3161
CVE: CVE-2018-3186
CVE: CVE-2018-3280
CVE: CVE-2018-3212
CVE: CVE-2018-3170
CVE: CVE-2018-3200
CVE: CVE-2018-3173
CVE: CVE-2018-3162
CVE: CVE-2018-3277
CVE: CVE-2018-3171
CVE: CVE-2018-3174
CVE: CVE-2018-3187
CVE: CVE-2018-3247
CVE: CVE-2018-3195
CVE: CVE-2018-3185
CVE: CVE-2018-3144
CVE: CVE-2018-3145
CVE: CVE-2018-3133
CVE: CVE-2018-3203
CVE: CVE-2018-3137
CVE: CVE-2018-3182
CVE: CVE-2018-3251
CVE: CVE-2018-3156
CVE: CVE-2018-3143
CVE: CVE-2018-3155
CVE: CVE-2016-9843

WWW: https://vuxml.FreeBSD.org/freebsd/ec507 ... bfeaf.html

Posted: **2018-10-25 18:55**

Dürfte nicht mehr lange dauern, habe den Bugreport aufgemacht https://bugs.freebsd.org/bugzilla/show_ ... ?id=232685 und Mokhi reagiert meistens zügig.

Posted: **2018-10-26 13:39**

Joe User wrote: ↑2018-10-25 18:55 Dürfte nicht mehr lange dauern, habe den Bugreport aufgemacht https://bugs.freebsd.org/bugzilla/show_ ... ?id=232685 und Mokhi reagiert meistens zügig.

Dank dir.

Posted: **2018-10-29 00:04**

Update ist nun verfügbar ;)

Posted: **2018-10-29 00:55**

Werde mich gleich heute früh drum kümmern.

Posted: **2018-10-29 11:07**

Hat alles anstandslos funktioniert!

Code: Select all

Installing libxslt-1.1.32...
===>  Cleaning for libxslt-1.1.32
--->  Removing temporary files and directories
--->  Removing old package'
--->  Installation of textproc/libxslt ended at: Mon, 29 Oct 2018 11:03:22 +0100 (consumed 00:00:01)
--->  Cleaning out obsolete shared libraries
--->  Saving the log as '/var/tmp/portupgrade-textproc::libxslt.log'
--->  Reinstallation of textproc/libxslt ended at: Mon, 29 Oct 2018 11:03:24 +0100 (consumed 00:00:11)
--->  ** Upgrade tasks 4: 4 done, 0 ignored, 0 skipped and 0 failed
--->  Listing the results (+:done / -:ignored / *:skipped / !:failed)
        + security/libgcrypt (libgcrypt-1.8.3 -> libgcrypt-1.8.4)
        + databases/mysql57-client (mysql57-client-5.7.23 -> mysql57-client-5.7.24)
        + databases/mysql57-server (mysql57-server-5.7.23_1 -> mysql57-server-5.7.24)
        + textproc/libxslt (libxslt-1.1.32 -> libxslt-1.1.32)
--->  Packages processed: 4 done, 0 ignored, 0 skipped and 0 failed
--->  Saving the results to '/var/tmp/portupgrade.results'
--->  Session ended at: Mon, 29 Oct 2018 11:03:24 +0100 (consumed 00:12:12)

Posted: **2018-12-17 12:11**

Auch MySQL 8.0 legt einen Haufen multiple vulnerabilities hin. Wohlgemerkt mit FreeBSD 12.0.

Code: Select all

mysql80-server-8.0.12_3 is vulnerable:
MySQL -- multiple vulnerabilities
CVE: CVE-2018-3286
CVE: CVE-2018-3283
CVE: CVE-2018-3284
CVE: CVE-2018-3282
CVE: CVE-2018-3279
CVE: CVE-2018-3278
CVE: CVE-2018-3161
CVE: CVE-2018-3186
CVE: CVE-2018-3280
CVE: CVE-2018-3212
CVE: CVE-2018-3170
CVE: CVE-2018-3200
CVE: CVE-2018-3173
CVE: CVE-2018-3162
CVE: CVE-2018-3277
CVE: CVE-2018-3171
CVE: CVE-2018-3174
CVE: CVE-2018-3187
CVE: CVE-2018-3247
CVE: CVE-2018-3195
CVE: CVE-2018-3185
CVE: CVE-2018-3144
CVE: CVE-2018-3145
CVE: CVE-2018-3133
CVE: CVE-2018-3203
CVE: CVE-2018-3137
CVE: CVE-2018-3182
CVE: CVE-2018-3251
CVE: CVE-2018-3156
CVE: CVE-2018-3143
CVE: CVE-2018-3155
CVE: CVE-2016-9843
WWW: https://vuxml.FreeBSD.org/freebsd/ec5072b0-d43a-11e8-a6d2-b499baebfeaf.html

Posted: **2018-12-18 00:40**

Da noch einige oft verwendete Pakete nicht mit 8.0 kompatibel sind, rate ich derzeit noch von 8.0 ab und verfasse auch keine Bugreports zu 8.0, da ich es aus Kompatibilitätsgründen noch nicht verwende.
Ich bin mir aber sicher, dass das nötige Update demnächst verfügbar sein wird, spätestens wenn sich der Weihnachts-/Silvesterrummel gelegt hat und der Maintainer wieder mehr Freizeit hat.
Wenn Du das Update zwingend schneller haben möchtest, dann verfasse bitte einen Bugreport, danke.
Solange Du Deinen MySQL nicht über das Netz erreichbar machst, sind die Lücken erstmal nicht wirklich gefährlich und können durchaus bis zum nächsten Update warten.

Solltest Du Dich ganz unsicher fühlen und lieber sofort updaten, dann kannst Du folgenden temporären Workaround anwenden, in der Hoffnung dass die Patches und die pkg-plist für die aktuelle Portsversion noch passen:

Code: Select all

# In der /usr/ports/databases/mysql80-server/Makefile
# die Variable PORTVERSION auf 8.0.13 setzen und
# die Variable PORTREVISION kommentieren/löschen
# und dann diese Befehle ausführen, um die neue
# MySQL Version zu kompilieren
ee /usr/ports/databases/mysql80-server/Makefile
make -C /usr/ports/databases/mysql80-server makesum
cd /usr/ports/databases/mysql80-server
make config-recursive all install clean-depends clean
service mysql-server restart
mysql_upgrade --force
service mysql-server restart

Ich rate von diesem Workaround aber ausdrücklich ab, da von MySQL abhängige Pakete hierdurch einem (relativ geringem) Risiko ausgesetzt werden unter Umständen nicht mehr korrekt zu arbeiten. Letzteres könnte man weitestgehend verhindern, indem man auch alle von MySQL abhängigen Pakete nochmal neu kompiliert und neu startet.
Mit Binary-Paketen (also per pkg installierte) funktioniert der Workaround nicht, da er die Abhängigkeitsauflösung (temporär) zerstört. Hier hilft nur warten auf ein offizielles FreeBSD-Paket.

Posted: **2018-12-18 12:27**

Danke für die Information, also werde ich warten. Übrigens dein Tutorial FreeBSD funktioniert, auch wenn mit kleinen Abänderungen, auf FreeBSD 12.

MySQL 8.0 und PHP 7.3.

Alles andere lief wie gewohnt.

Posted: **2018-12-18 17:56**

Eine allgemeine Frage hätte ich.
Warum Mysql und nicht Maridab?

Posted: **2018-12-18 18:37**

Weil sich MariaDB mitlerweile zu weit von MySQL entfernt hat und dadurch das Potential für Inkompatibilitäten bei Apps langsam steigt. Zudem hat MySQL seit 5.7 die Performance stark gesteigert und mit 8.0 nochmal ordentlich zugelegt, so dass MariaDB keine Vorteile gegenüber MySQL mehr hat.

Posted: **2018-12-19 10:22**

Vielen Dank für die Rückmeldung.
Das mysql mit innodb die Nase vorn hat, war mir bekannt.
Allerdings überrascht mich der Punkt der Inkompatibilität.

Bei mir steht zum Jahreswechsel eine technische Erneurung an. Viele Distributionen meiden den Teufel "Mysql" du bieten primär Support für Mariadb an. Was leider dazu führt, dass die Installation von mysql etwas holprig ist.

Die Trennung ist gefühlt etwa so Konsequent wie damals mit Nagios vs. Icinga und speziell bei den checks.

Posted: **2019-01-14 15:31**

Joe, Du hattest Recht mi deiner Vermutung MySQL 8.0 wurde heute gefixt!

RootForum Community

Gibt es einen Workaround? MySQL 5.7

Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7

Re: Gibt es einen Workaround? MySQL 5.7