openSUSEセキュリティ更新プログラム:mysql-community-server(openSUSE-2018-90)
high Nessus プラグイン ID 106359
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このmysql-community-serverのバージョン5.6.39への更新では、複数の問題を修正します。これらのセキュリティの問題が修正されました:
- CVE-2018-2622:サブコンポーネントの脆弱性:
サーバー:DDL に関連するベクトルを通じて、可用性に影響を与えることが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2562:サブコンポーネントの脆弱性:サーバー:Partitionに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1076369)。
- CVE-2018-2640:サブコンポーネントの脆弱性:
サーバー:Optimizerに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2665:サブコンポーネントの脆弱性:
サーバー:Optimizer)。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2668:サブコンポーネントの脆弱性:
サーバー:Optimizerに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2696:サブコンポーネントの脆弱性:サーバー:セキュリティ:特権)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。
容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2583:サブコンポーネントの脆弱性:格納されたプロシージャ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性が存在するのはMySQL Serverですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2612:サブコンポーネントの脆弱性:
InnoDB に関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性を利用した攻撃が成功すると、重要なデータやMySQL Serverがアクセスできるすべてのデータを権限なしで作成、削除、変更される可能性があることに加えて、MySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返す(完全なDOS)可能性があります(bsc#1076369)。
- CVE-2018-2703:サブコンポーネントの脆弱性:サーバー:セキュリティ:Privilegesに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2573:サブコンポーネントの脆弱性:
サーバー:GIS. 容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2017-3737:OpenSSLでは、「エラー状態」メカニズムが導入されました。その目的は、ハンドシェイク中に致命的なエラーが発生した場合、OpenSSLはエラー状態に移行し、あなたがハンドシェイクを続行しようとすると直ちに失敗する、というものです。これは明示的なハンドシェイク関数(SSL_do_handshake()、SSL_accept()、SSL_connect())で機能するよう設計されていますが、バグにより、SSL_read()またはSSL_write()が直接呼び出された場合、正しく機能しませんでした。その場合、ハンドシェイクが失敗した場合、最初の関数呼び出しで致命的なエラーが返されます。SSL_read()/SSL_write()が引き続き同じSSLオブジェクトのアプリケーションから呼び出された場合、SSL_read()/SSL_write()は成功し、データはSSL/TLSレコード層から直接復号/暗号化されることなく渡されます。この問題を悪用するには、既に致命的なエラーを受け取った後にSSL_read()/SSL_write()を呼び出すアプリケーションのバグが存在する必要があります。
- CVE-2018-2647:サブコンポーネントの脆弱性:
サーバー:Replicationに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1076369)。
- CVE-2018-2591:サブコンポーネントの脆弱性:サーバー:Partitionに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2590:サブコンポーネントの脆弱性:
サーバー:パフォーマンススキーマ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1076369)
- CVE-2018-2645:サブコンポーネントの脆弱性:
サーバー:パフォーマンススキーマ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります(bsc#1076369)。
詳細については、http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-39.htmlを参照してください。
ソリューション
影響を受けるmysql-communit-serverパッケージを更新してください。参考資料
https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-39.html
プラグインの詳細
深刻度: High
ID: 106359
ファイル名: openSUSE-2018-90.nasl
バージョン: 3.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/1/26
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:libmysql56client18, p-cpe:/a:novell:opensuse:libmysql56client18-32bit, p-cpe:/a:novell:opensuse:libmysql56client18-debuginfo, p-cpe:/a:novell:opensuse:libmysql56client18-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmysql56client_r18, p-cpe:/a:novell:opensuse:libmysql56client_r18-32bit, p-cpe:/a:novell:opensuse:mysql-community-server, p-cpe:/a:novell:opensuse:mysql-community-server-bench, p-cpe:/a:novell:opensuse:mysql-community-server-bench-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-client, p-cpe:/a:novell:opensuse:mysql-community-server-client-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-debugsource, p-cpe:/a:novell:opensuse:mysql-community-server-errormessages, p-cpe:/a:novell:opensuse:mysql-community-server-test, p-cpe:/a:novell:opensuse:mysql-community-server-test-debuginfo, p-cpe:/a:novell:opensuse:mysql-community-server-tools, p-cpe:/a:novell:opensuse:mysql-community-server-tools-debuginfo, cpe:/o:novell:opensuse:42.2, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2018/1/25
参照情報
CVE: CVE-2017-3737, CVE-2018-2562, CVE-2018-2573, CVE-2018-2583, CVE-2018-2590, CVE-2018-2591, CVE-2018-2612, CVE-2018-2622, CVE-2018-2640, CVE-2018-2645, CVE-2018-2647, CVE-2018-2665, CVE-2018-2668, CVE-2018-2696, CVE-2018-2703