openSUSE Security Update : mysql-community-server (openSUSE-2017-555) (Riddle)

high Nessus プラグイン ID 100039

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このmysql-community-serverのバージョン5.6.36への更新では、次の問題が修正されます:

これらのセキュリティの問題が修正されました:

- CVE-2016-5483:Mysqldumpが、ダンプ出力に書き込まれたSQLステートメント内の特定の識別子を適切に照合できなかったため、任意のコマンドが実行される可能性がありました(bsc#1029014)

- CVE-2017-3305:SSLが必要な場合でも、MySQLクライアントは暗号化されていない認証リクエストを送信していました(別名Ridddle)(bsc#1029396)。

- CVE-2017-3308:HTTPサーバー内の詳細不明な脆弱性:DML(boo#1034850)

- CVE-2017-3309:HTTPサーバー内の詳細不明な脆弱性:
オプティマイザー(boo#1034850)

- CVE-2017-3329:HTTPサーバー内の詳細不明な脆弱性:
Thread(boo#1034850)

- CVE-2017-3453:HTTPサーバー内の詳細不明な脆弱性:
オプティマイザー(boo#1034850)

- CVE-2017-3456:HTTPサーバー内の詳細不明な脆弱性:DML(boo#1034850)

- CVE-2017-3461:HTTPサーバー内の詳細不明な脆弱性:
セキュリティ(boo#1034850)

- CVE-2017-3462:HTTPサーバー内の詳細不明な脆弱性:
セキュリティ(boo#1034850)

- CVE-2017-3463:HTTPサーバー内の詳細不明な脆弱性:
セキュリティ(boo#1034850)

- CVE-2017-3464:HTTPサーバー内の詳細不明な脆弱性:DDL(boo#1034850)

- CVE-2017-3302:libmysqlclient.soのクラッシュ(bsc#1022428)。

- CVE-2017-3450:詳細不明な脆弱性サーバー:
Memcached

- CVE-2017-3452:詳細不明な脆弱性サーバー:
オプティマイザー

- CVE-2017-3599:詳細不明な脆弱性サーバー:
プラガブル認証

- CVE-2017-3600:Clientの詳細不明な脆弱性:
mysqldump(boo#1034850)

- 「--ssl-mode=REQUIRED」は、安全な接続を要求するように指定できます(安全な接続を取得できない場合は失敗します)

以下のセキュリティ以外の問題が、修正されました。

- mysql-systemd-helperでデフォルトのumaskを077に設定します(boo#1020976)

- 構成ディレクトリ/ファイルのパーミッションを755/644に変更します。/etc/my.cnfファイルにパスワードを保存するのは安全ではないことに注意してください。たとえば、自分だけがアクセス可能なオプションファイルを使用してください(boo#889126)

詳細については、http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-36.htmlを参照してください

ソリューション

影響を受けるmysql-communit-serverパッケージを更新してください。

関連情報

https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-36.html

https://bugzilla.opensuse.org/show_bug.cgi?id=1020976

https://bugzilla.opensuse.org/show_bug.cgi?id=1022428

https://bugzilla.opensuse.org/show_bug.cgi?id=1029014

https://bugzilla.opensuse.org/show_bug.cgi?id=1029396

https://bugzilla.opensuse.org/show_bug.cgi?id=1034850

https://bugzilla.opensuse.org/show_bug.cgi?id=889126

プラグインの詳細

深刻度: High

ID: 100039

ファイル名: openSUSE-2017-555.nasl

バージョン: 3.7

タイプ: local

エージェント: unix

公開日: 2017/5/9

更新日: 2021/1/19

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

現状ベクトル: CVSS2#E:POC/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.7

Temporal Score: 6.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:novell:opensuse:42.1:*:*:*:*:*:*:*, cpe:2.3:o:novell:opensuse:42.2:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-bench:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-bench-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-client:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-client-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-debugsource:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-test:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-test-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-tools:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-tools-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:libmysql56client18:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:libmysql56client18-32bit:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:libmysql56client18-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:libmysql56client18-debuginfo-32bit:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:libmysql56client_r18:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:libmysql56client_r18-32bit:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:opensuse:mysql-community-server-errormessages:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/5/8

参照情報

CVE: CVE-2016-5483, CVE-2017-3302, CVE-2017-3305, CVE-2017-3308, CVE-2017-3309, CVE-2017-3329, CVE-2017-3453, CVE-2017-3456, CVE-2017-3461, CVE-2017-3462, CVE-2017-3463, CVE-2017-3464, CVE-2017-3600, CVE-2017-3450, CVE-2017-3599, CVE-2017-3452