Amazon Linux AMI：mysql55/mysql56、mysql57（ALAS-2018-969）

high Nessus プラグイン ID 107240

Language:

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2640）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：GIS）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2573）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：レプリケーション）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性による攻撃が成功すると、権限なしでMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2647）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：DML）。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2576）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2668）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：InnoDB）。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2565）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：DML）。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2586）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：InnoDB）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、重要なデータやMySQL Serverがアクセスできるすべてのデータを権限なしで作成、削除、変更される可能性があることに加えて、MySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返す（完全なDOS）可能性があります。（CVE-2018-2612）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：セキュリティ：権限）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2696）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：格納されたプロシージャ）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性が存在するのはMySQL Serverですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2583）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：DDL）。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2622）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2600）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：パフォーマンススキーマ）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2590）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：パフォーマンススキーマ）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。（CVE-2018-2645）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：セキュリティ：権限）。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2703）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：DML）。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2646）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2665）Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。（CVE-2018-2667）

ソリューション

「yum update mysql55」を実行してシステムを更新してください。「yum update mysql56」を実行してシステムを更新してください。「yum update mysql57」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/ALAS-2018-969.html

プラグインの詳細

深刻度: High

ID: 107240

ファイル名: ala_ALAS-2018-969.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

ファミリー: Amazon Linux Local Security Checks

公開日: 2018/3/9

更新日: 2019/7/10

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS v3

リスクファクター: High

基本値: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

脆弱性情報

CPE: p-cpe:/a:amazon:linux:mysql-config, p-cpe:/a:amazon:linux:mysql55, p-cpe:/a:amazon:linux:mysql55-bench, p-cpe:/a:amazon:linux:mysql55-debuginfo, p-cpe:/a:amazon:linux:mysql55-devel, p-cpe:/a:amazon:linux:mysql55-embedded, p-cpe:/a:amazon:linux:mysql55-embedded-devel, p-cpe:/a:amazon:linux:mysql55-libs, p-cpe:/a:amazon:linux:mysql55-server, p-cpe:/a:amazon:linux:mysql55-test, p-cpe:/a:amazon:linux:mysql56, p-cpe:/a:amazon:linux:mysql56-bench, p-cpe:/a:amazon:linux:mysql56-common, p-cpe:/a:amazon:linux:mysql56-debuginfo, p-cpe:/a:amazon:linux:mysql56-devel, p-cpe:/a:amazon:linux:mysql56-embedded, p-cpe:/a:amazon:linux:mysql56-embedded-devel, p-cpe:/a:amazon:linux:mysql56-errmsg, p-cpe:/a:amazon:linux:mysql56-libs, p-cpe:/a:amazon:linux:mysql56-server, p-cpe:/a:amazon:linux:mysql56-test, p-cpe:/a:amazon:linux:mysql57, p-cpe:/a:amazon:linux:mysql57-common, p-cpe:/a:amazon:linux:mysql57-debuginfo, p-cpe:/a:amazon:linux:mysql57-devel, p-cpe:/a:amazon:linux:mysql57-embedded, p-cpe:/a:amazon:linux:mysql57-embedded-devel, p-cpe:/a:amazon:linux:mysql57-errmsg, p-cpe:/a:amazon:linux:mysql57-libs, p-cpe:/a:amazon:linux:mysql57-server, p-cpe:/a:amazon:linux:mysql57-test, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2018/3/8

脆弱性公開日: 2018/1/18

参照情報

CVE: CVE-2018-2565, CVE-2018-2573, CVE-2018-2576, CVE-2018-2583, CVE-2018-2586, CVE-2018-2590, CVE-2018-2600, CVE-2018-2612, CVE-2018-2622, CVE-2018-2640, CVE-2018-2645, CVE-2018-2646, CVE-2018-2647, CVE-2018-2665, CVE-2018-2667, CVE-2018-2668, CVE-2018-2696, CVE-2018-2703

ALAS: 2018-969