概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。
説明
このmariadbの10.2.15への更新では、次の問題が修正されます:
これらのセキュリティの問題が修正されました:
- CVE-2018-2767:埋め込みサーバーライブラリでのSSL/TLSの使用を強制します(BACKRONYMの戻り)(bsc#1088681)。
- CVE-2018-2786:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1089987)。
- CVE-2018-2759:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1089987)
- CVE-2018-2777:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1089987)
- CVE-2018-2810:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(bsc#1089987)
- CVE-2018-2782:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。
- CVE-2018-2784:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。
- CVE-2018-2787:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります(bsc#1089987、bsc#1090518)。
- CVE-2018-2766:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)
- CVE-2018-2755:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:
Replication)。悪用が難しい脆弱性ですが、認証されていない攻撃者が、MySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性がありました。攻撃が成功するには、攻撃者以外の人物の関与が必要であり、MySQL Serverにある脆弱性であっても、攻撃がその他の製品に重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Serverの乗っ取りが発生する可能性があります(bsc#1089987、bsc#1090518)。
- CVE-2018-2819:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:InnoDB)。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。
- CVE-2018-2817:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:DDL)
容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)。
- CVE-2018-2761:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:Client programs)。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性がありました。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)
- CVE-2018-2781:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:
Optimizer)。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)
- CVE-2018-2771:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:
ロッキング)。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性がありました。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります(bsc#1089987、bsc#1090518)
- CVE-2018-2813:Oracle MySQLのMySQLServerコンポーネントにおける脆弱性(サブコンポーネント:サーバー:DDL)
容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害することが可能でした。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります(bsc#1089987、bsc#1090518)。
以下のセキュリティ以外の問題が、修正されました。
- PCREが8.42に更新されました
- 回復中の欠落したテーブルスペースの不完全な検証
- ib_buffer_poolが不必要な一時テーブルスペースを追加します
- InnoDBが初期化されていないガベージをredoログに書き込む可能性があります
- 仮想列:dict_table_get_col_nameでアサーションが失敗しました
-innodbの起動/シャットダウンの遅延がsystemdタイムアウトを超える可能性があります
- 5.5からのアップグレード時にdict_check_sys_tablesでアサーションが失敗しました
- TRUNCATEまたはDROP TABLE中のバッファクラッシュを変更します
- 一時テーブルROLLBACKの修正
詳細については、
-https://mariadb.com/kb/en/library/mariadb-10215-release-notes
-https://mariadb.com/kb/en/library/mariadb-10215-changelog
ソリューション
影響を受けるmariadbパッケージを更新してください。
プラグインの詳細
ファイル名: openSUSE-2019-427.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:libmysqld-devel, p-cpe:/a:novell:opensuse:libmysqld19, p-cpe:/a:novell:opensuse:libmysqld19-debuginfo, p-cpe:/a:novell:opensuse:mariadb, p-cpe:/a:novell:opensuse:mariadb-bench, p-cpe:/a:novell:opensuse:mariadb-bench-debuginfo, p-cpe:/a:novell:opensuse:mariadb-client, p-cpe:/a:novell:opensuse:mariadb-client-debuginfo, p-cpe:/a:novell:opensuse:mariadb-debuginfo, p-cpe:/a:novell:opensuse:mariadb-debugsource, p-cpe:/a:novell:opensuse:mariadb-errormessages, p-cpe:/a:novell:opensuse:mariadb-galera, p-cpe:/a:novell:opensuse:mariadb-test, p-cpe:/a:novell:opensuse:mariadb-test-debuginfo, p-cpe:/a:novell:opensuse:mariadb-tools, p-cpe:/a:novell:opensuse:mariadb-tools-debuginfo, cpe:/o:novell:opensuse:15.0
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2018-2755, CVE-2018-2759, CVE-2018-2761, CVE-2018-2766, CVE-2018-2767, CVE-2018-2771, CVE-2018-2777, CVE-2018-2781, CVE-2018-2782, CVE-2018-2784, CVE-2018-2786, CVE-2018-2787, CVE-2018-2810, CVE-2018-2813, CVE-2018-2817, CVE-2018-2819