MySQL 5.7.x < 5.7.34の複数の脆弱性(2021年4月CPU)

medium Nessus プラグイン ID 148936

概要

リモートのデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行されているMySQLのバージョンは、5.7.34より前の5.7.xです。したがって、2021年4月のCritical Patch Updateアドバイザリに記載されているとおり、以下を含む複数のサービスの脆弱性の影響を受けます。

- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:パッケージング(OpenSSL))。
影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(CVE-2021-3449)

- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:セキュリティ:暗号化(OpenSSL))。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。(CVE-2021-23841)

- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:パッケージング)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。簡単に悪用できる脆弱性によって、認証されていない攻撃者が、MySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性があります。
この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性による攻撃が成功すると、重要なデータへの不正アクセス、MySQL Serverがアクセスできるデータへの完全なアクセス、MySQL Serverがアクセスできる一部のデータへの権限のない更新、挿入または削除が引き起こされる可能性があります。(CVE-2021-2307)

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

MySQLバージョン5.7.34以降にアップグレードしてください。

関連情報

https://www.oracle.com/security-alerts/cpuapr2021.html#AppendixMSQL

https://www.oracle.com/a/tech/docs/cpuapr2021cvrf.xml

プラグインの詳細

深刻度: Medium

ID: 148936

ファイル名: mysql_5_7_34.nasl

バージョン: 1.6

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Databases

公開日: 2021/4/22

更新日: 2022/5/10

サポートされているセンサー: Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2021-2226

VPR

リスクファクター: Medium

スコア: 6.1

CVSS v2

リスクファクター: Medium

Base Score: 4

Temporal Score: 3

ベクトル: AV:N/AC:L/Au:S/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 6.1

Temporal Score: 5.3

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:mysql

必要な KB アイテム: installed_sw/MySQL Server

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/4/20

脆弱性公開日: 2021/4/20

参照情報

CVE: CVE-2021-2146, CVE-2021-2154, CVE-2021-2162, CVE-2021-2166, CVE-2021-2169, CVE-2021-2171, CVE-2021-2174, CVE-2021-2179, CVE-2021-2180, CVE-2021-2194, CVE-2021-2226, CVE-2021-2307, CVE-2021-3449, CVE-2021-23841

IAVA: 2021-A-0193