MariaDB 10.1.0 < 10.1.41の複数の脆弱性
medium Nessus プラグイン ID 128879
Language:
概要
リモートのデータベースサーバーは、複数の脆弱性の影響を受けます説明
リモートホストにインストールされている MariaDB のバージョンは、10.1.41 より前です。したがって、mdb-10141-rnアドバイザリに記載されている次の脆弱性の影響を受けます。-「Server: Pluggable Auth」サブコンポーネントの脆弱性。これは、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし MariaDB サーバーを侵害する可能性がある、容易に悪用可能な脆弱性です。この脆弱性に関する攻撃が成功すると、権限なく MariaDB をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全な DOS)があります。
(CVE-2019-2737)
-「Server: Security: Privileges」サブコンポーネントの脆弱性。これは簡単に悪用できる脆弱性で、MariaDB サーバーを実行中のインフラストラクチャにログオンできる高い権限の攻撃者が、MariaDB サーバーを侵害する可能性があります。この脆弱性に関する攻撃が成功すると、権限なしで MariaDB サーバーがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらに MariaDB サーバーでハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。(CVE-2019-2739)
-「Server: XML」サブコンポーネントの脆弱性。これは、権限の低い攻撃者が複数のプロトコルを介してネットワークにアクセスし MariaDB サーバーを侵害する可能性がある、容易に悪用可能な脆弱性です。この脆弱性に関する攻撃が成功すると、権限なく MariaDB サーバーをハングさせたり、頻繁にクラッシュを繰り返させたりする(完全な DOS)可能性があります。
(CVE-2019-2740)
-「Server: Parser」サブコンポーネントの脆弱性。
これは、権限の低い攻撃者が複数のプロトコルを介してネットワークにアクセスし MariaDB サーバーを侵害する可能性がある、容易に悪用可能な脆弱性です。
この脆弱性に関する攻撃が成功すると、権限なく MariaDB サーバーをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。(CVE-2019-2805)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
MariaDB バージョン 10.1.41 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 128879
ファイル名: mariadb_10_1_41.nasl
バージョン: 1.4
タイプ: remote
ファミリー: Databases
公開日: 2019/9/17
更新日: 2022/12/5
設定: パラノイドモードの有効化
サポートされているセンサー: Frictionless Assessment Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.0
CVSS v2
リスクファクター: Medium
Base Score: 4.3
Temporal Score: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2021-2007
CVSS v3
リスクファクター: Medium
Base Score: 5.1
Temporal Score: 4.5
ベクトル: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:mariadb:mariadb
必要な KB アイテム: Settings/ParanoidReport
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/7/31
脆弱性公開日: 2019/7/23
参照情報
CVE: CVE-2019-2737, CVE-2019-2739, CVE-2019-2740, CVE-2019-2805, CVE-2020-2922, CVE-2021-2007
BID: 109243