openSUSEセキュリティ更新プログラム:mariadb(openSUSE-2019-427)

medium Nessus プラグイン ID 123187

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このmariadbの10.2.15への更新では、次の問題が修正されます:

これらのセキュリティの問題が修正されました:

- CVE-2018-2767:埋め込みサーバーライブラリでのSSL/TLSの使用を強制します(BACKRONYMの戻り)(bsc#1088681)。

- CVE-2018-2786:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1089987)。

- CVE-2018-2759:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1089987)

- CVE-2018-2777:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1089987)

- CVE-2018-2810:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1089987)

- CVE-2018-2782:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。

- CVE-2018-2784:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。

- CVE-2018-2787:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1089987、bsc#1090518)。

- CVE-2018-2766:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)

- CVE-2018-2755:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:
Replication)。悪用が難しい脆弱性ですが、認証されていない攻撃者が、MySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性がありました。攻撃が成功するには、攻撃者以外の人物の関与が必要であり、MySQL Serverにある脆弱性であっても、攻撃がその他の製品に重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Serverの乗っ取りが発生する可能性があります(bsc#1089987、bsc#1090518)。

- CVE-2018-2819:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。

- CVE-2018-2817:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:DDL)
容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。

- CVE-2018-2761:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:Client programs)。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性がありました。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)

- CVE-2018-2781:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:
Optimizer)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)

- CVE-2018-2771:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:
ロッキング)。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性がありました。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)

- CVE-2018-2813:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:DDL)
容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります(bsc#1089987、bsc#1090518)。

以下のセキュリティ以外の問題が、修正されました。

- PCREが8.42に更新されました

- 回復中の欠落したテーブルスペースの不完全な検証

- ib_buffer_poolが不必要な一時テーブルスペースを追加します

- InnoDBが初期化されていないガベージをredoログに書き込む可能性があります

- 仮想列:dict_table_get_col_nameでアサーションが失敗しました

-innodbの起動/シャットダウンの遅延がsystemdタイムアウトを超える可能性があります

- 5.5からのアップグレード時にdict_check_sys_tablesでアサーションが失敗しました

- TRUNCATEまたはDROP TABLE中のバッファクラッシュを変更します

- 一時テーブルROLLBACKの修正

詳細については、

-https://mariadb.com/kb/en/library/mariadb-10215-release-notes

-https://mariadb.com/kb/en/library/mariadb-10215-changelog

ソリューション

影響を受けるmariadbパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1088681

https://bugzilla.opensuse.org/show_bug.cgi?id=1089987

https://bugzilla.opensuse.org/show_bug.cgi?id=1090518

https://bugzilla.opensuse.org/show_bug.cgi?id=1092544

https://mariadb.com/kb/en/library/mariadb-10215-changelog/

https://mariadb.com/kb/en/library/mariadb-10215-release-notes/

プラグインの詳細

深刻度: Medium

ID: 123187

ファイル名: openSUSE-2019-427.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2019/3/27

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: Medium

Base Score: 5.5

Temporal Score: 4.1

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P

CVSS スコアのソース: CVE-2018-2787

CVSS v3

リスクファクター: Medium

Base Score: 5.5

Temporal Score: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libmysqld-devel, p-cpe:/a:novell:opensuse:libmysqld19, p-cpe:/a:novell:opensuse:libmysqld19-debuginfo, p-cpe:/a:novell:opensuse:mariadb, p-cpe:/a:novell:opensuse:mariadb-bench, p-cpe:/a:novell:opensuse:mariadb-bench-debuginfo, p-cpe:/a:novell:opensuse:mariadb-client, p-cpe:/a:novell:opensuse:mariadb-client-debuginfo, p-cpe:/a:novell:opensuse:mariadb-debuginfo, p-cpe:/a:novell:opensuse:mariadb-debugsource, p-cpe:/a:novell:opensuse:mariadb-errormessages, p-cpe:/a:novell:opensuse:mariadb-galera, p-cpe:/a:novell:opensuse:mariadb-test, p-cpe:/a:novell:opensuse:mariadb-test-debuginfo, p-cpe:/a:novell:opensuse:mariadb-tools, p-cpe:/a:novell:opensuse:mariadb-tools-debuginfo, cpe:/o:novell:opensuse:15.0

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/3/23

脆弱性公開日: 2018/4/19

参照情報

CVE: CVE-2018-2755, CVE-2018-2759, CVE-2018-2761, CVE-2018-2766, CVE-2018-2767, CVE-2018-2771, CVE-2018-2777, CVE-2018-2781, CVE-2018-2782, CVE-2018-2784, CVE-2018-2786, CVE-2018-2787, CVE-2018-2810, CVE-2018-2813, CVE-2018-2817, CVE-2018-2819