MySQL 8.0.x < 8.0.16の複数の脆弱性（2019年4月CPU）（2019年7月CPU）

critical Nessus プラグイン ID 124160

Language:

概要

リモートのデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行されているMySQLのバージョンは、8.0.16より前の8.0.xです。したがって、2019年4月のCritical Patch Updateアドバイザリに記載されているとおり、下記に示す主な4つの脆弱性を含む複数の脆弱性の影響を受けます。

-「Server: Packaging (cURL)」サブコンポーネントのスタックベースのバッファオーバーフローの脆弱性により、認証されていない攻撃者が、MySQL Serverの影響を受けるインスタンスを完全に制御する可能性があります。（CVE-2019-3822）

-「Server: Pluggable Auth」サブコンポーネントの詳細不明な脆弱性により、認証されていない攻撃者が、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスできる可能性があります。（CVE-2019-2632）

-以下において複数のサービス拒否の脆弱性があります。「Server: Optimizer」サブコンポーネントに複数のサービス拒否の脆弱性があり、低い権限を持つ攻撃者がサーバーをハングアップさせたり、頻繁にクラッシュを繰り返して完全なサービス拒否を引き起こしたりする可能性があります。（CVE-2019-2693、CVE-2019-2694、CVE-2019-2695）

-「Server: Compiling (OpenSSL)」サブコンポーネントの詳細不明な脆弱性により、認証されていない攻撃者がMySQLサーバーがアクセスできるすべてのデータに完全にアクセスできる可能性があります。（CVE-2019-1559）

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。