検出

openSUSEセキュリティ更新プログラム:mysql-community-server(openSUSE-2018-90)

high Nessus プラグイン ID 106359

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このmysql-community-serverのバージョン5.6.39への更新では、複数の問題を修正します。

これらのセキュリティの問題が修正されました:

 - CVE-2018-2622:サブコンポーネントの脆弱性:
 サーバー:DDL に関連するベクトルを通じて、可用性に影響を与えることが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2562:サブコンポーネントの脆弱性:サーバー:Partitionに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1076369)。

 - CVE-2018-2640:サブコンポーネントの脆弱性:
 サーバー:Optimizerに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
 この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2665:サブコンポーネントの脆弱性:
 サーバー:Optimizer)。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2668:サブコンポーネントの脆弱性:
 サーバー:Optimizerに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
 この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2696:サブコンポーネントの脆弱性:サーバー:セキュリティ:特権)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。
 容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2583:サブコンポーネントの脆弱性:格納されたプロシージャ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性が存在するのはMySQL Serverですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2612:サブコンポーネントの脆弱性:
 InnoDB に関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性を利用した攻撃が成功すると、重要なデータやMySQL Serverがアクセスできるすべてのデータを権限なしで作成、削除、変更される可能性があることに加えて、MySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返す(完全なDOS)可能性があります(bsc#1076369)。

 - CVE-2018-2703:サブコンポーネントの脆弱性:サーバー:セキュリティ:Privilegesに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2573:サブコンポーネントの脆弱性:
 サーバー:GIS. 容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2017-3737:OpenSSLでは、「エラー状態」メカニズムが導入されました。その目的は、ハンドシェイク中に致命的なエラーが発生した場合、OpenSSLはエラー状態に移行し、あなたがハンドシェイクを続行しようとすると直ちに失敗する、というものです。これは明示的なハンドシェイク関数(SSL_do_handshake()、SSL_accept()、SSL_connect())で機能するよう設計されていますが、バグにより、SSL_read()またはSSL_write()が直接呼び出された場合、正しく機能しませんでした。その場合、ハンドシェイクが失敗した場合、最初の関数呼び出しで致命的なエラーが返されます。SSL_read()/SSL_write()が引き続き同じSSLオブジェクトのアプリケーションから呼び出された場合、SSL_read()/SSL_write()は成功し、データはSSL/TLSレコード層から直接復号/暗号化されることなく渡されます。この問題を悪用するには、既に致命的なエラーを受け取った後にSSL_read()/SSL_write()を呼び出すアプリケーションのバグが存在する必要があります。

 - CVE-2018-2647:サブコンポーネントの脆弱性:
 サーバー:Replicationに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
 この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1076369)。

 - CVE-2018-2591:サブコンポーネントの脆弱性:サーバー:Partitionに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
 この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2590:サブコンポーネントの脆弱性:
 サーバー:パフォーマンススキーマ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)

 - CVE-2018-2645:サブコンポーネントの脆弱性:
 サーバー:パフォーマンススキーマ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります(bsc#1076369)。

詳細については、http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-39.htmlを参照してください。

ソリューション

影響を受けるmysql-communit-serverパッケージを更新してください。

参考資料

https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-39.html

https://bugzilla.opensuse.org/show_bug.cgi?id=1076369

プラグインの詳細

深刻度: High

ID: 106359

ファイル名: openSUSE-2018-90.nasl

バージョン: 3.5

タイプ: local

エージェント: unix

公開日: 2018/1/26

更新日: 2025/10/31

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:C

CVSS スコアのソース: CVE-2018-2647

CVSS v3

リスクファクター: High

基本値: 7.1

現状値: 6.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2018-2562

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libmysql56client18-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-tools-debuginfo, p-cpe:/a:novell:opensuse:libmysql56client18, p-cpe:/a:novell:opensuse:mysql-community-server-bench, p-cpe:/a:novell:opensuse:mysql-community-server-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server, p-cpe:/a:novell:opensuse:libmysql56client_r18-32bit, p-cpe:/a:novell:opensuse:mysql-community-server-debugsource, p-cpe:/a:novell:opensuse:mysql-community-server-tools, p-cpe:/a:novell:opensuse:libmysql56client18-32bit, p-cpe:/a:novell:opensuse:mysql-community-server-errormessages, p-cpe:/a:novell:opensuse:mysql-community-server-bench-debuginfo, cpe:/o:novell:opensuse:42.2, p-cpe:/a:novell:opensuse:libmysql56client_r18, p-cpe:/a:novell:opensuse:mysql-community-server-client, p-cpe:/a:novell:opensuse:mysql-community-server-test, p-cpe:/a:novell:opensuse:mysql-community-server-test-debuginfo, cpe:/o:novell:opensuse:42.3, p-cpe:/a:novell:opensuse:mysql-community-server-client-debuginfo, p-cpe:/a:novell:opensuse:libmysql56client18-debuginfo-32bit

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/1/25

参照情報

CVE: CVE-2017-3737, CVE-2018-2562, CVE-2018-2573, CVE-2018-2583, CVE-2018-2590, CVE-2018-2591, CVE-2018-2612, CVE-2018-2622, CVE-2018-2640, CVE-2018-2645, CVE-2018-2647, CVE-2018-2665, CVE-2018-2668, CVE-2018-2696, CVE-2018-2703