Ubuntu 18.04 LTS/20.04 LTS/20.10/21.04:MySQL の脆弱性(USN-4952-1)
medium Nessus プラグイン ID 149446
言語:
概要
リモートUbuntuホストに1つ以上のセキュリティ更新がありません。説明
リモートのUbuntu 18.04 LTS / 20.04 LTS / 20.10 / 21.04 ホストにUSN-4952-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー: Options)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2146)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー: DML)。影響を受けるサポート対象のバージョンは5.7.33以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2154)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:監査プラグイン)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。
この脆弱性に対して攻撃が成功すると、MySQL Serverがアクセスできるいくつかのデータが、権限なしで更新、挿入または削除される可能性があります。CVSS 3.1ベーススコア4.3(整合性への影響)CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)。(CVE-2021-2162)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:Optimizer)。影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2164、CVE-2021-2170、CVE-2021-2193、CVE-2021-2203、CVE-2021-2212、CVE-2021-2230、CVE-2021-2278、CVE-2021-2299)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー: DML)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2166)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:Optimizer)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2169)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:Replication)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.4(可用性に影響)。CVSS Vector:(CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2171)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー: DML)。影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア6.5(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2172)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー: グループレプリケーションプラグイン)。
影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2179)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント: InnoDB)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2180、CVE-2021-2194)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント: サーバー: DML)。影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2196、CVE-2021-2300、CVE-2021-2305)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント: サーバー:パーティション)影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2201、CVE-2021-2208)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント: サーバー:格納されたプロシージャ)。影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア4.9(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2215、CVE-2021-2217、CVE-2021-2293)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント: サーバー: 情報スキーマ)。
影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.1ベーススコア4.9(機密性に影響)
CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)。(CVE-2021-2226)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー: グループレプリケーションプラグイン)。
影響を受けるサポート対象のバージョンは8.0.23以前です。悪用が難しい脆弱性ですが、MySQL Serverが実行されているインフラストラクチャにログオンでき、高い権限を持つ攻撃者がMySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Serverの部分的なサービス拒否(部分的DOS)が権限なしで引き起こされる可能性があります。CVSS 3.1ベーススコア1.9(可用性に影響)。CVSS Vector:(CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:L)。(CVE-2021-2232)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:Optimizer)。影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性(完全なDOS)があります。CVSS 3.1ベーススコア6.5(可用性に影響)。CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2298)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー: 情報スキーマ)。
影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります。CVSS 3.1ベーススコア2.7(機密性に影響)CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)。(CVE-2021-2301、CVE-2021-2308)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント: サーバー:格納されたプロシージャ)。影響を受けるサポート対象のバージョンは8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性による攻撃が成功すると、権限なしでMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする(完全なDOS)可能性があります。CVSS 3.1ベーススコア5.5(整合性と可用性に影響)CVSS Vector:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)。(CVE-2021-2304)
- Oracle MySQLのMySQL Server製品における脆弱性(コンポーネント:サーバー:パッケージング)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。簡単に悪用できる脆弱性によって、認証されていない攻撃者が、MySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。
この脆弱性による攻撃が成功すると、重要なデータへの不正アクセス、MySQL Serverがアクセスできるデータへのフルアクセス、MySQL Serverがアクセスできる一部のデータへの権限のない更新、アクセスの挿入または削除が引き起こされる可能性があります。CVSS 3.1ベーススコア6.1(機密性と整合性への影響)CVSS Vector:(CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)。(CVE-2021-2307)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。関連情報
プラグインの詳細
深刻度: Medium
ID: 149446
ファイル名: ubuntu_USN-4952-1.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2021/5/13
更新日: 2023/1/17
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
リスク情報
VPR
リスクファクター: Medium
スコア: 5.7
CVSS v2
リスクファクター: Medium
Base Score: 5.5
Temporal Score: 4.1
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P
現状ベクトル: CVSS2#E:U/RL:OF/RC:C
CVSS スコアのソース: CVE-2021-2304
CVSS v3
リスクファクター: Medium
Base Score: 6.1
Temporal Score: 5.3
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2021-2307
脆弱性情報
CPE: cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.10, cpe:/o:canonical:ubuntu_linux:21.04, p-cpe:/a:canonical:ubuntu_linux:libmysqlclient-dev, p-cpe:/a:canonical:ubuntu_linux:libmysqlclient20, p-cpe:/a:canonical:ubuntu_linux:libmysqlclient21, p-cpe:/a:canonical:ubuntu_linux:libmysqld-dev, p-cpe:/a:canonical:ubuntu_linux:mysql-client, p-cpe:/a:canonical:ubuntu_linux:mysql-client-5.7, p-cpe:/a:canonical:ubuntu_linux:mysql-client-8.0, p-cpe:/a:canonical:ubuntu_linux:mysql-client-core-5.7, p-cpe:/a:canonical:ubuntu_linux:mysql-client-core-8.0, p-cpe:/a:canonical:ubuntu_linux:mysql-router, p-cpe:/a:canonical:ubuntu_linux:mysql-server, p-cpe:/a:canonical:ubuntu_linux:mysql-server-5.7, p-cpe:/a:canonical:ubuntu_linux:mysql-server-8.0, p-cpe:/a:canonical:ubuntu_linux:mysql-server-core-5.7, p-cpe:/a:canonical:ubuntu_linux:mysql-server-core-8.0, p-cpe:/a:canonical:ubuntu_linux:mysql-source-5.7, p-cpe:/a:canonical:ubuntu_linux:mysql-source-8.0, p-cpe:/a:canonical:ubuntu_linux:mysql-testsuite, p-cpe:/a:canonical:ubuntu_linux:mysql-testsuite-5.7, p-cpe:/a:canonical:ubuntu_linux:mysql-testsuite-8.0
必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2021/5/12
脆弱性公開日: 2021/4/20
参照情報
CVE: CVE-2021-2146, CVE-2021-2154, CVE-2021-2162, CVE-2021-2164, CVE-2021-2166, CVE-2021-2169, CVE-2021-2170, CVE-2021-2171, CVE-2021-2172, CVE-2021-2179, CVE-2021-2180, CVE-2021-2193, CVE-2021-2194, CVE-2021-2196, CVE-2021-2201, CVE-2021-2203, CVE-2021-2208, CVE-2021-2212, CVE-2021-2215, CVE-2021-2217, CVE-2021-2226, CVE-2021-2230, CVE-2021-2232, CVE-2021-2278, CVE-2021-2293, CVE-2021-2298, CVE-2021-2299, CVE-2021-2300, CVE-2021-2301, CVE-2021-2304, CVE-2021-2305, CVE-2021-2307, CVE-2021-2308
USN: 4952-1