検出

プラグイン

SUSE SLES15 セキュリティ更新プログラム: mariadb (SUSE-SU-2021:2616-1)

high Nessus プラグイン ID 152242

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 ホストには、SUSE-SU-2021:2616-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Oracle MySQLのMySQL Server製品における脆弱性 (コンポーネント: サーバー: DML)。影響を受けるサポート対象のバージョンは 5.7.33 以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。(CVE-2021-2154)

- Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント: サーバー: DML) 。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。(CVE-2021-2166)

- 10.2.37より前のMariaDB 10.2、10.3.28より前の10.3、10.4.18より前の10.4、および10.5.9より前の10.5、2021年3月3日までのPercona Server、およびMySQL用の2021年3月3日までのwsrepパッチで、リモートコードが実行される問題が見つかりました。信頼できない検索パスは、evalインジェクションを引き起こします。データベースSUPERユーザーは、wsrep_providerとwsrep_notify_cmdを変更した後に、OSコマンドを実行できます。注意: これは、Oracle 製品には影響しません。(CVE-2021-27928)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1182739

https://bugzilla.suse.com/1183770

https://bugzilla.suse.com/1185870

https://bugzilla.suse.com/1185872

https://www.suse.com/security/cve/CVE-2021-2154

https://www.suse.com/security/cve/CVE-2021-2166

https://www.suse.com/security/cve/CVE-2021-27928

http://www.nessus.org/u?5738917d

プラグインの詳細

深刻度: High

ID: 152242

ファイル名: suse_SU-2021-2616-1.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2021/8/6

更新日: 2023/11/1

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2021-27928

CVSS v3

リスクファクター: High

基本値: 7.2

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:libmariadbd-devel, p-cpe:/a:novell:suse_linux:libmariadbd19, p-cpe:/a:novell:suse_linux:mariadb, p-cpe:/a:novell:suse_linux:mariadb-client, p-cpe:/a:novell:suse_linux:mariadb-errormessages, p-cpe:/a:novell:suse_linux:mariadb-tools, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/8/5

脆弱性公開日: 2021/3/19

参照情報

CVE: CVE-2021-2154, CVE-2021-2166, CVE-2021-27928

IAVA: 2021-A-0193-S

SuSE: SUSE-SU-2021:2616-1