Amazon Linux AMI:mysql55/mysql56、mysql57(ALAS-2018-969)
medium Nessus プラグイン ID 107240
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2640)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:GIS)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2573)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:レプリケーション)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性による攻撃が成功すると、権限なしでMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2647)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:DML)。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2576)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2668)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:InnoDB)。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2565)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:DML)。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2586)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:InnoDB)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、重要なデータやMySQL Serverがアクセスできるすべてのデータを権限なしで作成、削除、変更される可能性があることに加えて、MySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返す(完全なDOS)可能性があります。(CVE-2018-2612)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:セキュリティ:権限)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2696)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:格納されたプロシージャ)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性が存在するのはMySQL Serverですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2583)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:DDL)。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2622)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2600)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:パフォーマンススキーマ)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2590)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:パフォーマンススキーマ)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。(CVE-2018-2645)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:セキュリティ:権限)。影響を受けるサポート対象のバージョンは5.6.38以前および5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2703)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:DML)。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2646)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2665)Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.7.20以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。(CVE-2018-2667)ソリューション
「yum update mysql55」を実行してシステムを更新してください。「yum update mysql56」を実行してシステムを更新してください。「yum update mysql57」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 107240
ファイル名: ala_ALAS-2018-969.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2018/3/9
更新日: 2025/10/24
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:C
CVSS スコアのソース: CVE-2018-2647
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2018-2612
脆弱性情報
CPE: p-cpe:/a:amazon:linux:mysql56-devel, p-cpe:/a:amazon:linux:mysql56-debuginfo, p-cpe:/a:amazon:linux:mysql57-embedded-devel, p-cpe:/a:amazon:linux:mysql56-embedded, p-cpe:/a:amazon:linux:mysql57-debuginfo, p-cpe:/a:amazon:linux:mysql57-libs, p-cpe:/a:amazon:linux:mysql57, p-cpe:/a:amazon:linux:mysql56-bench, p-cpe:/a:amazon:linux:mysql56-libs, cpe:/o:amazon:linux, p-cpe:/a:amazon:linux:mysql55-test, p-cpe:/a:amazon:linux:mysql56-server, p-cpe:/a:amazon:linux:mysql55-devel, p-cpe:/a:amazon:linux:mysql57-test, p-cpe:/a:amazon:linux:mysql56-common, p-cpe:/a:amazon:linux:mysql55-libs, p-cpe:/a:amazon:linux:mysql57-devel, p-cpe:/a:amazon:linux:mysql55-server, p-cpe:/a:amazon:linux:mysql55-embedded-devel, p-cpe:/a:amazon:linux:mysql57-errmsg, p-cpe:/a:amazon:linux:mysql55, p-cpe:/a:amazon:linux:mysql56-test, p-cpe:/a:amazon:linux:mysql57-common, p-cpe:/a:amazon:linux:mysql57-embedded, p-cpe:/a:amazon:linux:mysql-config, p-cpe:/a:amazon:linux:mysql55-embedded, p-cpe:/a:amazon:linux:mysql56, p-cpe:/a:amazon:linux:mysql55-debuginfo, p-cpe:/a:amazon:linux:mysql57-server, p-cpe:/a:amazon:linux:mysql56-errmsg, p-cpe:/a:amazon:linux:mysql56-embedded-devel, p-cpe:/a:amazon:linux:mysql55-bench
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/3/8
脆弱性公開日: 2018/1/18
参照情報
CVE: CVE-2018-2565, CVE-2018-2573, CVE-2018-2576, CVE-2018-2583, CVE-2018-2586, CVE-2018-2590, CVE-2018-2600, CVE-2018-2612, CVE-2018-2622, CVE-2018-2640, CVE-2018-2645, CVE-2018-2646, CVE-2018-2647, CVE-2018-2665, CVE-2018-2667, CVE-2018-2668, CVE-2018-2696, CVE-2018-2703
ALAS: 2018-969