検出

openSUSE 15 セキュリティ更新: mariadb (openSUSE-SU-2021:2617-1)

high Nessus プラグイン ID 152249

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートのSUSE Linux SUSE15ホストには、openSUSE-SU-2021:2617-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Oracle MySQLのMySQL Server製品における脆弱性 (コンポーネント: サーバー: DML) 。影響を受けるサポート対象のバージョンは5.7.33以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全なDOS) があります。CVSS 3.1ベーススコア4.9 (可用性に影響) 。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H) 。 (CVE-2021-2154)

 - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント : サーバー: DML) 。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全なDOS) があります。CVSS 3.1ベーススコア4.9 (可用性に影響) 。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H) 。 (CVE-2021-2166)

 - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント : InnoDB)。影響を受けるサポート対象のバージョンは 5.7.33以前および 8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全なDOS) があります。CVSS 3.1ベーススコア4.9 (可用性に影響) 。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2180)

 - 10.2.37より前のMariaDB 10.2、10.3.28より前の10.3、10.4.18より前の10.4、および10.5.9より前の10.5、2021年3月3日までのPercona Server、およびMySQL用の2021年3月3日までのwsrepパッチで、リモートコードが実行される問題が見つかりました。信頼できない検索パスは、evalインジェクションを引き起こします。データベースSUPERユーザーは、wsrep_providerとwsrep_notify_cmdを変更した後に、OSコマンドを実行できます。注: これは、Oracle製品には影響しません。(CVE-2021-27928)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける libmysqld-devel および / または libmysqld19 パッケージを更新してください。

参考資料

https://www.suse.com/security/cve/CVE-2021-2166

https://www.suse.com/security/cve/CVE-2021-2180

https://www.suse.com/security/cve/CVE-2021-27928

https://bugzilla.suse.com/1182739

https://bugzilla.suse.com/1183770

https://bugzilla.suse.com/1185868

https://bugzilla.suse.com/1185870

https://bugzilla.suse.com/1185872

https://bugzilla.suse.com/1188300

http://www.nessus.org/u?624f417d

https://www.suse.com/security/cve/CVE-2021-2154

プラグインの詳細

深刻度: High

ID: 152249

ファイル名: openSUSE-2021-2617.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2021/8/6

更新日: 2023/12/6

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2021-27928

CVSS v3

リスクファクター: High

基本値: 7.2

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libmysqld-devel, p-cpe:/a:novell:opensuse:libmysqld19, cpe:/o:novell:opensuse:15.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/8/5

脆弱性公開日: 2021/3/19

参照情報

CVE: CVE-2021-2154, CVE-2021-2166, CVE-2021-2180, CVE-2021-27928

IAVA: 2021-A-0193-S