リモートの Ubuntu 16.04 LTS ホストには、USN-5022-3 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント :  サーバー:  Options)。影響を受けるサポート対象のバージョンは 5.7.33 以前および 8.0.23 以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector:
    (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2146)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー: DML)。影響を受けるサポート対象のバージョンは 5.7.33以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector:
    (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2154)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー：監査プラグイン）。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。
    この脆弱性に対して攻撃が成功すると、MySQL Serverがアクセスできるいくつかのデータが、権限なしで更新、挿入または削除される可能性があります。CVSS 3.1ベーススコア4.3 (整合性への影響) CVSS Vector:
    (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)。(CVE-2021-2162)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー: DML)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector:
    (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2166)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー: Optimizer)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2169)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー: Replication)。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.4(可用性に影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2171)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー:  グループレプリケーションプラグイン)。
    影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2179)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  InnoDB)。影響を受けるサポート対象のバージョンは 5.7.33以前および 8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector:
    (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2180、CVE-2021-2194)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー: 情報スキーマ)。
    影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.1ベーススコア4.9 (機密性に影響)。
    CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)。(CVE-2021-2226)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー：パッケージング）。影響を受けるサポート対象のバージョンは5.7.33以前および8.0.23以前です。簡単に悪用できる脆弱性によって、認証されていない攻撃者が、MySQL Serverが実行されているインフラストラクチャにログオンし、MySQL Serverを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。
    この脆弱性による攻撃が成功すると、重要なデータへの不正アクセス、MySQL Serverがアクセスできるデータへのフルアクセス、MySQL Serverがアクセスできる一部のデータへの権限のない更新、アクセスの挿入または削除が引き起こされる可能性があります。CVSS 3.1ベーススコア6.1（機密性と整合性への影響）CVSS Vector：(CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)。(CVE-2021-2307)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー: Optimizer)。影響を受けるサポート対象のバージョンは5.7.34以前および8.0.25以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2342)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  InnoDB)。影響を受けるサポート対象のバージョンは 5.7.34以前および 8.0.25以前です。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.4(可用性に影響)。CVSS Vector:
    (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2372)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  サーバー: Replication)。影響を受けるサポート対象のバージョンは5.7.34以前および8.0.25以前です。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。
    この脆弱性による攻撃が成功すると、権限なしでMySQL Serverがアクセスできるデータの一部にアクセスして、更新、挿入、削除したり、さらにMySQL Serverでハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする (完全なDOS) 可能性があります。CVSS 3.1ベーススコア 5.0(整合性と可用性に影響) CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H)。(CVE-2021-2385)

  - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント:  InnoDB)。影響を受けるサポート対象のバージョンは5.7.34以前および8.0.25以前です。悪用が難しい脆弱性ですが、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全なDOS) があります。CVSS 3.1ベーススコア 5.9(可用性に影響)。CVSS Vector:
    (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)。(CVE-2021-2389、CVE-2021-2390)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Ubuntu 16.04 ESM: MySQL の脆弱性 (USN-5022-3)

medium Nessus プラグイン ID 153942

バージョン 1.7

バージョン 1.6

バージョン 1.5

バージョン 1.4

バージョン 1.7 Nov 2, 2023, 4:31 AM IAVM reference Plugin Feed: 202311020431
バージョン 1.6 Oct 23, 2023, 4:39 PM Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Detection CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Plugin metadata Plugin Feed: 202310231639
バージョン 1.5 Jan 18, 2023, 9:01 AM Logic Changes (Added support for s390x) Plugin Feed: 202301180901
バージョン 1.4 Dec 6, 2022, 4:40 AM Reference Plugin Feed: 202212060440