Amazon Linux 2：mariadb（ALAS-2018-1078）

high Nessus プラグイン ID 117592

Language:

概要

リモートのAmazon Linux 2ホストにセキュリティ更新プログラムがありません。

説明

Oracle MySQLのMySQL Serverコンポーネントにある脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.5.57以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H）。（CVE-2017-10378）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア4.9（可用性への影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2018-2781）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：パーティション）。影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性による攻撃が成功すると、権限なしでMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア7.1（整合性と可用性に影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H）。（CVE-2018-2562）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：Client mysqldump）。影響を受けるサポート対象のバージョンは5.5.56以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対して攻撃が成功すると、MySQL Serverがアクセスできるいくつかのデータが、権限なしで更新、挿入または削除される可能性があります。CVSS 3.0ベーススコア4.3（整合性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N）。（CVE-2017-3651）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：レプリケーション）。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、認証されていない攻撃者が、MySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性があります。攻撃が成功するには、攻撃者以外の人物の関与が必要であり、MySQL Serverにある脆弱性であっても、攻撃がその他の製品に重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Serverの乗っ取りが発生する可能性があります。CVSS 3.0ベーススコア7.7（機密性、整合性、可用性の影響）CVSSベクトル：（CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H）。（CVE-2018-2755）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：オプティマイザー）。影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS：3.0/AV：N/AC：L/PR：L/UI：N/S：U/C：N/I：N/A：H）。（CVE-2018-2640）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：Clientプログラム）。影響を受けるサポート対象のバージョンは5.5.57以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.0ベーススコア6.5（機密性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N）。（CVE-2017-10379）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：レプリケーション）。影響を受けるサポート対象のバージョンは5.5.57以前です。悪用が難しい脆弱性ですが、MySQL Serverが実行されているインフラストラクチャにログオンでき、高い権限を持つ攻撃者がMySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.0ベーススコア4.1（機密性に影響）。CVSSベクトル：（CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N）。（CVE-2017-10268）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：DDL）。影響を受けるサポート対象のバージョンは5.5.56以前です。悪用が難しい脆弱性ですが、権限が低い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対して攻撃が成功すると、MySQL Serverがアクセスできるいくつかのデータが、権限なしで更新、挿入または削除される可能性があります。CVSS 3.0ベーススコア3.1（整合性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N）。（CVE-2017-3653）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：ロック）。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア4.4（可用性への影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2018-2771）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：セキュリティ：暗号化）。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、権限が低い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります。CVSS 3.0ベーススコア3.1（機密性に影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N）。（CVE-2018-2767）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：DDL）。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS：3.0/AV：N/AC：L/PR：L/UI：N/S：U/C：N/I：N/A：H）（CVE-2018-2817）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：オプティマイザー）影響を受けるサポート対象のバージョンは5.5.58以前、5.6.38以前、5.7.20以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS：3.0/AV：N/AC：L/PR：L/UI：N/S：U/C：N/I：N/A：H）。（CVE-2018-2668）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：DDL）。影響を受けるサポート対象のバージョンは5.5.57以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H）。（CVE-2017-10384）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：DML）。影響を受けるサポート対象のバージョンは5.5.56以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア4.9（可用性への影響）CVSSベクトル：（CVSS：3.0/AV：N/AC：L/PR：H/UI：N/S：U/C：N/I：N/A：H）。（CVE-2017-3641）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：InnoDB）。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS：3.0/AV：N/AC：L/PR：L/UI：N/S：U/C：N/I：N/A：H）（CVE-2018-2819）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：オプティマイザー）影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS：3.0/AV：N/AC：L/PR：L/UI：N/S：U/C：N/I：N/A：H）。（CVE-2018-2665）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：DDL）。影響を受けるサポート対象のバージョンは5.5.58以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア6.5（可用性に影響）。CVSSベクトル：（CVSS：3.0/AV：N/AC：L/PR：L/UI：N/S：U/C：N/I：N/A：H）。（CVE-2018-2622）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：サーバー：DDL）。影響を受けるサポート対象のバージョンは5.5.59以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります。CVSS 3.0 Base Score 4.3（機密性の影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N）。（CVE-2018-2813）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：Clientプログラム）。影響を受けるサポート対象のバージョンは5.5.56以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者がMySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、一部のMySQL Serverのアクセス可能データに対する認証されていない更新、挿入、削除、MySQL Serverのアクセス可能データのサブセットに対する承認されていない読み取りアクセス、MySQL Serverの部分的サービス拒否（部分的DOS）を引き起こす承認されていない機能につながる可能性があります。CVSS 3.0ベーススコア5.3（機密性、整合性、可用性に影響）。CVSSベクトル：（CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L）。（CVE-2017-3636）Oracle MySQLのMySQL Serverコンポーネントの脆弱性（サブコンポーネント：Clientプログラム）。影響を受けるサポート対象のバージョンは5.5.59以前です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。CVSS 3.0ベーススコア5.9（可用性への影響）CVSSベクトル：（CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H）。（CVE-2018-2761）

ソリューション

「yum update mariadb」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2/ALAS-2018-1078.html

プラグインの詳細

深刻度: High

ID: 117592

ファイル名: al2_ALAS-2018-1078.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

ファミリー: Amazon Linux Local Security Checks

公開日: 2018/9/19

更新日: 2019/7/10

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:C

CVSS v3

リスクファクター: High

Base Score: 7.7

ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:amazon:linux:mariadb, p-cpe:/a:amazon:linux:mariadb-bench, p-cpe:/a:amazon:linux:mariadb-debuginfo, p-cpe:/a:amazon:linux:mariadb-devel, p-cpe:/a:amazon:linux:mariadb-embedded, p-cpe:/a:amazon:linux:mariadb-embedded-devel, p-cpe:/a:amazon:linux:mariadb-libs, p-cpe:/a:amazon:linux:mariadb-server, p-cpe:/a:amazon:linux:mariadb-test, cpe:/o:amazon:linux:2

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2018/9/15

脆弱性公開日: 2017/8/8

参照情報

CVE: CVE-2017-10268, CVE-2017-10378, CVE-2017-10379, CVE-2017-10384, CVE-2017-3636, CVE-2017-3641, CVE-2017-3651, CVE-2017-3653, CVE-2018-2562, CVE-2018-2622, CVE-2018-2640, CVE-2018-2665, CVE-2018-2668, CVE-2018-2755, CVE-2018-2761, CVE-2018-2767, CVE-2018-2771, CVE-2018-2781, CVE-2018-2813, CVE-2018-2817, CVE-2018-2819

ALAS: 2018-1078