RHEL 7:mariadb(RHSA-2017:2192)
high Nessus プラグイン ID 102152
Language:
概要
リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。説明
mariadbの更新プログラムが、Red Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。MariaDBは、MySQLとバイナリ相互性のあるマルチユーザーかつマルチスレッドSQLデータベースサーバーです。次のパッケージが新しいアップストリームバージョンにアップデートされました:mariadb(5.5.56)(BZ#1458933)セキュリティ修正プログラム:* mysqlとmysqldumpツールで、改行文字を含むデータベース名とテーブル名が正しく処理されていないことがわかりました。データベースまたはテーブルを作成する権限を持つデータベースユーザーが、mysqldumpツールを使用して作成されたデータベースバックアップを復元する際に、mysqlコマンドに任意のシェルまたはSQLコマンドを実行させる可能性があります。(CVE-2016-5483、CVE-2017-3600)* mysqld_safeスクリプトがエラーログファイルの作成を処理する方法に欠陥が見つかりました。mysqlオペレーティングシステムのユーザーがこの欠陥を利用して、自身の権限をrootに昇格させる可能性があります。(CVE-2016-5617、CVE-2016-6664)* MySQL initスクリプトがデータベースデータディレクトリの初期化とエラーログファイルのアクセス許可設定を処理する方法に、複数の欠陥が見つかりました。mysqlオペレーティングシステムのユーザーが、これらの欠陥を使用して自身の権限をrootに昇格させる可能性があります。(CVE-2017-3265)* mysqld_safeスクリプトが、MySQL設定ファイルで設定されているledirオプションの値を受け入れることが発見されました。MySQL構成ファイルの1つを変更できるユーザーが、この欠陥を利用して自身の権限をrootに昇格させる可能性があります。(CVE-2017-3291)* mysqld_safeスクリプトがエラーログファイルの作成を処理する方法に複数の欠陥が見つかりました。mysqlオペレーティングシステムのユーザーが、これらの欠陥を使用して自身の権限をrootに昇格させる可能性があります。(CVE-2017-3312)* MySQLクライアントライブラリ(libmysqlclient)が、サーバー接続が失われたときにプリペアドステートメントを処理する方法に、欠陥が見つかりました。悪意のあるサーバーや中間にいる攻撃者が、この欠陥を利用してlibmysqlclientを使用しアプリケーションをクラッシュさせる可能性があります。(CVE-2017-3302)* この更新プログラムでは、MariaDBデータベースサーバーの複数の脆弱性が修正されます。この欠陥の詳細については、「参照」セクションに一覧表示されているOracle Critical Patch Updateアドバイザリページを参照してください。(CVE-2017-3238、CVE-2017-3243、CVE-2017-3244、CVE-2017-3258、CVE-2017-3308、CVE-2017-3309、CVE-2017-3313、CVE-2017-3317、CVE-2017-3318、CVE-2017-3453、CVE-2017-3456、CVE-2017-3464)追加の変更:このリリースの変更に関する詳細については、「参照」セクションからリンクされているRed Hat Enterprise Linux 7.4リリースノートを参照してください。ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?3395ff0b
https://mariadb.com/kb/en/library/mariadb-5553-release-notes/
https://mariadb.com/kb/en/library/mariadb-5554-release-notes/
https://mariadb.com/kb/en/library/mariadb-5555-release-notes/
https://mariadb.com/kb/en/library/mariadb-5556-release-notes/
https://access.redhat.com/errata/RHSA-2017:2192
https://access.redhat.com/security/cve/cve-2016-5483
https://access.redhat.com/security/cve/cve-2016-5617
https://access.redhat.com/security/cve/cve-2016-6664
https://access.redhat.com/security/cve/cve-2017-3238
https://access.redhat.com/security/cve/cve-2017-3243
https://access.redhat.com/security/cve/cve-2017-3244
https://access.redhat.com/security/cve/cve-2017-3258
https://access.redhat.com/security/cve/cve-2017-3265
https://access.redhat.com/security/cve/cve-2017-3291
https://access.redhat.com/security/cve/cve-2017-3302
https://access.redhat.com/security/cve/cve-2017-3308
https://access.redhat.com/security/cve/cve-2017-3309
https://access.redhat.com/security/cve/cve-2017-3312
https://access.redhat.com/security/cve/cve-2017-3313
https://access.redhat.com/security/cve/cve-2017-3317
https://access.redhat.com/security/cve/cve-2017-3318
https://access.redhat.com/security/cve/cve-2017-3453
https://access.redhat.com/security/cve/cve-2017-3456
https://access.redhat.com/security/cve/cve-2017-3464
プラグインの詳細
深刻度: High
ID: 102152
ファイル名: redhat-RHSA-2017-2192.nasl
バージョン: 3.15
タイプ: local
エージェント: unix
公開日: 2017/8/3
更新日: 2019/10/24
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.4
CVSS v2
リスクファクター: Medium
基本値: 6.9
現状値: 6
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 7.7
現状値: 7.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:mariadb, p-cpe:/a:redhat:enterprise_linux:mariadb-bench, p-cpe:/a:redhat:enterprise_linux:mariadb-debuginfo, p-cpe:/a:redhat:enterprise_linux:mariadb-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-libs, p-cpe:/a:redhat:enterprise_linux:mariadb-server, p-cpe:/a:redhat:enterprise_linux:mariadb-test, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2017/8/1
脆弱性公開日: 2016/10/25
参照情報
CVE: CVE-2016-5483, CVE-2016-5617, CVE-2016-6664, CVE-2017-3238, CVE-2017-3243, CVE-2017-3244, CVE-2017-3258, CVE-2017-3265, CVE-2017-3291, CVE-2017-3302, CVE-2017-3308, CVE-2017-3309, CVE-2017-3312, CVE-2017-3313, CVE-2017-3317, CVE-2017-3318, CVE-2017-3453, CVE-2017-3456, CVE-2017-3464, CVE-2017-3600, CVE-2017-3651
RHSA: 2017:2192