MySQL < 5.5.6 の複数のサービス拒否
medium Nessus プラグイン ID 17836
Language:
概要
リモートデータベースサーバーは、複数の DoS 攻撃(サービス拒否攻撃)に対して脆弱です。説明
リモートホストにインストールされている MySQL のバージョンが、 5.5.6 より前のものです。このように、複数のサービス拒否の攻撃に脆弱だと報告されています:- 「LEAST()」もしくは「GREATEST()」のような極値関数の引数評価にあるタイプエラーが不適切に処理されるため、サーバーがクラッシュする可能性があります。(CVE-2010-3833)
- 認証されているリモートの攻撃者が、サーバーをクラッシュさせる可能性があります。
(CVE-2010-3834 および CVE-2010-3836)
- 「GROUP_CONCAT()」および「WITH ROLLUP」の使用により、サーバーがクラッシュしました。(CVE-2010-3837)
- 中間体の一時的テーブル、ならびに「GREATEST()」または「LEAST()」の呼び出しを含むクエリを使用し、数値「LONGBLOB」引数の両方のあるリストを用意することにより、サーバーがクラッシュしました。(CVE-2010-3838)
- 準備したステートメントまたは保存した手順のネスト化された join の使用により、無限ループが発生する可能性があります。(CVE-2010-3839)
ソリューション
MySQL バージョン 5.5.6 以降にアップグレードしてください。参考資料
https://bugzilla.redhat.com/show_bug.cgi?id=640751
https://bugs.mysql.com/bug.php?id=55826
https://bugs.mysql.com/bug.php?id=54476
https://bugs.mysql.com/bug.php?id=54461
https://bugs.mysql.com/bug.php?id=53544
https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-6.html
プラグインの詳細
深刻度: Medium
ID: 17836
ファイル名: mysql_5_5_6.nasl
バージョン: 1.7
タイプ: remote
ファミリー: Databases
公開日: 2012/1/18
更新日: 2018/11/15
設定: パラノイドモードの有効化
サポートされているセンサー: Frictionless Assessment Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: cpe:/a:mysql:mysql
必要な KB アイテム: Settings/ParanoidReport
エクスプロイトの容易さ: No known exploits are available
脆弱性公開日: 2010/9/10
参照情報
CVE: CVE-2010-3833, CVE-2010-3834, CVE-2010-3835, CVE-2010-3836, CVE-2010-3837, CVE-2010-3838, CVE-2010-3839
BID: 43676