openSUSEセキュリティ更新プログラム:mysql-community-server(openSUSE-2017-555)(Riddle)
high Nessus プラグイン ID 100039
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このmysql-community-serverのバージョン5.6.36への更新では、次の問題が修正されます:これらのセキュリティの問題が修正されました:
- CVE-2016-5483:Mysqldumpが、ダンプ出力に書き込まれたSQLステートメント内の特定の識別子を適切に照合できなかったため、任意のコマンドが実行される可能性がありました(bsc#1029014)
- CVE-2017-3305:SSLが必要な場合でも、MySQLクライアントは暗号化されていない認証リクエストを送信していました(別名Ridddle)(bsc#1029396)。
- CVE-2017-3308:HTTPサーバー内の詳細不明な脆弱性:DML(boo#1034850)
- CVE-2017-3309:HTTPサーバー内の詳細不明な脆弱性:
オプティマイザー(boo#1034850)
- CVE-2017-3329:HTTPサーバー内の詳細不明な脆弱性:
Thread(boo#1034850)
- CVE-2017-3453:HTTPサーバー内の詳細不明な脆弱性:
オプティマイザー(boo#1034850)
- CVE-2017-3456:HTTPサーバー内の詳細不明な脆弱性:DML(boo#1034850)
- CVE-2017-3461:HTTPサーバー内の詳細不明な脆弱性:
セキュリティ(boo#1034850)
- CVE-2017-3462:HTTPサーバー内の詳細不明な脆弱性:
セキュリティ(boo#1034850)
- CVE-2017-3463:HTTPサーバー内の詳細不明な脆弱性:
セキュリティ(boo#1034850)
- CVE-2017-3464:HTTPサーバー内の詳細不明な脆弱性:DDL(boo#1034850)
- CVE-2017-3302:libmysqlclient.soのクラッシュ(bsc#1022428)。
- CVE-2017-3450:詳細不明な脆弱性サーバー:
Memcached
- CVE-2017-3452:詳細不明な脆弱性サーバー:
オプティマイザー
- CVE-2017-3599:詳細不明な脆弱性サーバー:
プラガブル認証
- CVE-2017-3600:Clientの詳細不明な脆弱性:
mysqldump(boo#1034850)
- 「--ssl-mode=REQUIRED」は、安全な接続を要求するように指定できます(安全な接続を取得できない場合は失敗します)
以下のセキュリティ以外の問題が、修正されました。
- mysql-systemd-helperでデフォルトのumaskを077に設定します(boo#1020976)
- 構成ディレクトリ/ファイルのパーミッションを755/644に変更します。/etc/my.cnfファイルにパスワードを保存するのは安全ではないことに注意してください。たとえば、自分だけがアクセス可能なオプションファイルを使用してください(boo#889126)
詳細については、http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-36.htmlを参照してください
ソリューション
影響を受けるmysql-communit-serverパッケージを更新してください。参考資料
https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-36.html
https://bugzilla.opensuse.org/show_bug.cgi?id=1020976
https://bugzilla.opensuse.org/show_bug.cgi?id=1022428
https://bugzilla.opensuse.org/show_bug.cgi?id=1029014
https://bugzilla.opensuse.org/show_bug.cgi?id=1029396
プラグインの詳細
深刻度: High
ID: 100039
ファイル名: openSUSE-2017-555.nasl
バージョン: 3.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2017/5/9
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 6.1
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS v3
リスクファクター: High
基本値: 7.7
現状値: 6.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:libmysql56client18, p-cpe:/a:novell:opensuse:libmysql56client18-32bit, p-cpe:/a:novell:opensuse:libmysql56client18-debuginfo, p-cpe:/a:novell:opensuse:libmysql56client18-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmysql56client_r18, p-cpe:/a:novell:opensuse:libmysql56client_r18-32bit, p-cpe:/a:novell:opensuse:mysql-community-server, p-cpe:/a:novell:opensuse:mysql-community-server-bench, p-cpe:/a:novell:opensuse:mysql-community-server-bench-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-client, p-cpe:/a:novell:opensuse:mysql-community-server-client-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-debugsource, p-cpe:/a:novell:opensuse:mysql-community-server-errormessages, p-cpe:/a:novell:opensuse:mysql-community-server-test, p-cpe:/a:novell:opensuse:mysql-community-server-test-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-tools, p-cpe:/a:novell:opensuse:mysql-community-server-tools-debuginfo, cpe:/o:novell:opensuse:42.1, cpe:/o:novell:opensuse:42.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2017/5/8
参照情報
CVE: CVE-2016-5483, CVE-2017-3302, CVE-2017-3305, CVE-2017-3308, CVE-2017-3309, CVE-2017-3329, CVE-2017-3450, CVE-2017-3452, CVE-2017-3453, CVE-2017-3456, CVE-2017-3461, CVE-2017-3462, CVE-2017-3463, CVE-2017-3464, CVE-2017-3599, CVE-2017-3600