Amazon Linux 2:mariadb(ALAS-2018-1078)

high Nessus プラグイン ID 117592

概要

リモートのAmazon Linux 2ホストにセキュリティ更新プログラムがありません。

説明

Oracle MySQLのMySQL Serverコンポーネントにある脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.5.57以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2017-10378)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア4.9(可用性への影響)CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2018-2781)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:パーティション)。影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性による攻撃が成功すると、権限なしでMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア7.1(整合性と可用性に影響)CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)。(CVE-2018-2562)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:Client mysqldump)。影響を受けるサポート対象のバージョンは5.5.56以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対して攻撃が成功すると、MySQL Serverがアクセスできるいくつかのデータが、権限なしで更新、挿入または削除される可能性があります。CVSS 3.0ベーススコア4.3(整合性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)。(CVE-2017-3651)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:レプリケーション)。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、認証されていない攻撃者が、MySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性があります。攻撃が成功するには、攻撃者以外の人物の関与が必要であり、MySQL Serverにある脆弱性であっても、攻撃がその他の製品に重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Serverの乗っ取りが発生する可能性があります。CVSS 3.0ベーススコア7.7(機密性、整合性、可用性の影響)CVSSベクトル:(CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)。(CVE-2018-2755)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:オプティマイザー)。影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2018-2640)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:Clientプログラム)。影響を受けるサポート対象のバージョンは5.5.57以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.0ベーススコア6.5(機密性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)。(CVE-2017-10379)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:レプリケーション)。影響を受けるサポート対象のバージョンは5.5.57以前です。悪用が難しい脆弱性ですが、MySQL Serverが実行されているインフラストラクチャにログオンでき、高い権限を持つ攻撃者がMySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.0ベーススコア4.1(機密性に影響)。CVSSベクトル:(CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N)。(CVE-2017-10268)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:DDL)。影響を受けるサポート対象のバージョンは5.5.56以前です。悪用が難しい脆弱性ですが、権限が低い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対して攻撃が成功すると、MySQL Serverがアクセスできるいくつかのデータが、権限なしで更新、挿入または削除される可能性があります。CVSS 3.0ベーススコア3.1(整合性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N)。(CVE-2017-3653)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:ロック)。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア4.4(可用性への影響)CVSSベクトル:(CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2018-2771)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:セキュリティ:暗号化)。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、権限が低い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります。CVSS 3.0ベーススコア3.1(機密性に影響)CVSSベクトル:(CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N)。(CVE-2018-2767)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:DDL)。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVE-2018-2817)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:オプティマイザー)影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2018-2668)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:DDL)。影響を受けるサポート対象のバージョンは5.5.57以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2017-10384)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:DML)。影響を受けるサポート対象のバージョンは5.5.56以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア4.9(可用性への影響)CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2017-3641)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:InnoDB)。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVE-2018-2819)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:オプティマイザー)影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2018-2665)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:DDL)。影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア6.5(可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2018-2622)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:サーバー:DDL)。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります。CVSS 3.0 Base Score 4.3(機密性の影響)CVSSベクトル:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)。(CVE-2018-2813)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:Clientプログラム)。影響を受けるサポート対象のバージョンは5.5.56以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者がMySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、一部のMySQL Serverのアクセス可能データに対する認証されていない更新、挿入、削除、MySQL Serverのアクセス可能データのサブセットに対する承認されていない読み取りアクセス、MySQL Serverの部分的サービス拒否(部分的DOS)を引き起こす承認されていない機能につながる可能性があります。CVSS 3.0ベーススコア5.3(機密性、整合性、可用性に影響)。CVSSベクトル:(CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)。(CVE-2017-3636)Oracle MySQLのMySQL Serverコンポーネントの脆弱性(サブコンポーネント:Clientプログラム)。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.0ベーススコア5.9(可用性への影響)CVSSベクトル:(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)。(CVE-2018-2761)

ソリューション

「yum update mariadb」を実行してシステムを更新してください。

関連情報

https://alas.aws.amazon.com/AL2/ALAS-2018-1078.html

プラグインの詳細

深刻度: High

ID: 117592

ファイル名: al2_ALAS-2018-1078.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2018/9/19

更新日: 2019/7/10

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: AV:N/AC:L/Au:S/C:N/I:P/A:C

CVSS v3

リスクファクター: High

Base Score: 7.7

ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:amazon:linux:mariadb, p-cpe:/a:amazon:linux:mariadb-bench, p-cpe:/a:amazon:linux:mariadb-debuginfo, p-cpe:/a:amazon:linux:mariadb-devel, p-cpe:/a:amazon:linux:mariadb-embedded, p-cpe:/a:amazon:linux:mariadb-embedded-devel, p-cpe:/a:amazon:linux:mariadb-libs, p-cpe:/a:amazon:linux:mariadb-server, p-cpe:/a:amazon:linux:mariadb-test, cpe:/o:amazon:linux:2

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2018/9/15

脆弱性公開日: 2017/8/8

参照情報

CVE: CVE-2017-10268, CVE-2017-10378, CVE-2017-10379, CVE-2017-10384, CVE-2017-3636, CVE-2017-3641, CVE-2017-3651, CVE-2017-3653, CVE-2018-2562, CVE-2018-2622, CVE-2018-2640, CVE-2018-2665, CVE-2018-2668, CVE-2018-2755, CVE-2018-2761, CVE-2018-2767, CVE-2018-2771, CVE-2018-2781, CVE-2018-2813, CVE-2018-2817, CVE-2018-2819

ALAS: 2018-1078