このmysql-community-serverのバージョン5.6.39への更新では、複数の問題を修正します。

これらのセキュリティの問題が修正されました：

  - CVE-2018-2622：サブコンポーネントの脆弱性：
    サーバー：DDL に関連するベクトルを通じて、可用性に影響を与えることが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2562：サブコンポーネントの脆弱性：サーバー：Partitionに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります（bsc#1076369）。

  - CVE-2018-2640：サブコンポーネントの脆弱性：
    サーバー：Optimizerに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
    この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2665：サブコンポーネントの脆弱性：
    サーバー：Optimizer）。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2668：サブコンポーネントの脆弱性：
    サーバー：Optimizerに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
    この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2696：サブコンポーネントの脆弱性：サーバー：セキュリティ：特権）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。
    容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2583：サブコンポーネントの脆弱性：格納されたプロシージャ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性が存在するのはMySQL Serverですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2612：サブコンポーネントの脆弱性：
    InnoDB に関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性を利用した攻撃が成功すると、重要なデータやMySQL Serverがアクセスできるすべてのデータを権限なしで作成、削除、変更される可能性があることに加えて、MySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返す（完全なDOS）可能性があります（bsc#1076369）。

  - CVE-2018-2703：サブコンポーネントの脆弱性：サーバー：セキュリティ：Privilegesに関連するベクトルを通じて、可用性に影響を及ぼすことが可能です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2573：サブコンポーネントの脆弱性：
    サーバー：GIS. 容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2017-3737：OpenSSLでは、「エラー状態」メカニズムが導入されました。その目的は、ハンドシェイク中に致命的なエラーが発生した場合、OpenSSLはエラー状態に移行し、あなたがハンドシェイクを続行しようとすると直ちに失敗する、というものです。これは明示的なハンドシェイク関数（SSL_do_handshake()、SSL_accept()、SSL_connect()）で機能するよう設計されていますが、バグにより、SSL_read()またはSSL_write()が直接呼び出された場合、正しく機能しませんでした。その場合、ハンドシェイクが失敗した場合、最初の関数呼び出しで致命的なエラーが返されます。SSL_read()/SSL_write()が引き続き同じSSLオブジェクトのアプリケーションから呼び出された場合、SSL_read()/SSL_write()は成功し、データはSSL/TLSレコード層から直接復号/暗号化されることなく渡されます。この問題を悪用するには、既に致命的なエラーを受け取った後にSSL_read()/SSL_write()を呼び出すアプリケーションのバグが存在する必要があります。

  - CVE-2018-2647：サブコンポーネントの脆弱性：
    サーバー：Replicationに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
    この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります（bsc#1076369）。

  - CVE-2018-2591：サブコンポーネントの脆弱性：サーバー：Partitionに関連する未知のベクトルを通じて、可用性に影響を与える可能性があります。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
    この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2590：サブコンポーネントの脆弱性：
    サーバー：パフォーマンススキーマ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性（完全なDOS）があります。（bsc#1076369）

  - CVE-2018-2645：サブコンポーネントの脆弱性：
    サーバー：パフォーマンススキーマ。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります（bsc#1076369）。

詳細については、http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-39.htmlを参照してください。

検出

openSUSEセキュリティ更新プログラム：mysql-community-server（openSUSE-2018-90）

high Nessus プラグイン ID 106359

バージョン 3.5