検出

openSUSE 15 のセキュリティ更新 : python-mysql-connector-python (openSUSE-SU-2024:0351-1)

high Nessus プラグイン ID 210463

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

リモートの openSUSE 15 ホストにインストールされているパッケージは、openSUSE- SU-2024:0351-1 のアドバイザリに記載されている脆弱性の影響を受けます。

 - 9.1.0 に更新してください(boo#1231740、CVE-2024-21272)
 - WL#16452: C 拡張をビルドする際に、インストール可能なすべての認証プラグインをバンドル
 - WL#16444: DEB パッケージのビルドサポートをドロップ
 - WL#16442: gssapi バージョンを 1.8.3 にアップグレード
 - WL#16411: Classic および XDevAPI コネクタのホイールメタデータ情報を改善
 - WL#16341: OpenID Connect (Oauth2 - JWT) 認証サポート
 - WL#16307: Python 3.8 のサポートを削除
 - WL#16306: Python 3.13 のサポートを追加
 - BUG#37055435:TLSv1.3 暗号を指定すると、TLS ネゴシエーション中に接続に失敗します
 - BUG#37013057: mysql-connector-python のパラメーター化されたクエリーの SQL インジェクション
 - BUG#36765200: 間違ったホストが入力されると、python mysql connector 8.3.0 で %-.100s:%u が発生
 - BUG#36577957: 文字セット/照合順序の説明を更新し、16 ビットであることを明示
 - 9.0.0:
 - WL#16350: Update dnspython のバージョンを更新
 - WL#16318: カーソルプリペアド Raw と名前付きタプルを廃止
 - WL#16284: Python Protobuf バージョンを更新
 - WL#16283: OpenTelemetry バンドルインストールを削除
 - BUG#36664998: aio でユーザーを変更する際にパケット順序のエラーが発生
 - BUG#36611371: 最新の 2.6.1 を許可するのに必要な dnspython バージョンを更新
 - BUG#36570707: C 拡張を使用する接続で設定された照合順序を無視
 - BUG#36476195: sql_mode に NO_BACKSLASH_ESCAPES が含まれている場合に、pure Python モードで不適切なエスケープ
 - BUG#36289767: MySQLCursorBufferedRaw が変換をスキップしない
 - 8.4.0
 - WL#16203: GPL ライセンス例外の更新
 - WL#16173: 許可された cipher および cipher-suite リストを更新
 - WL#16164: 新しいベクトルデータ型のサポートを実装
 - WL#16127: FIDO 認証メカニズムを削除
 - WL#16053: C 拡張用の authentication_ldap_sasl_client プラグインを使用する、Windows での GSSAPI/Kerberos 認証をサポート
 - BUG#36227964: OpenTelemetry スパンカバレッジを改善
 - BUG#36167880: 大規模なメモリーリーク mysqlx ネイティブ Protobuf をコレクションに追加
 - 8.3.0
 - WL#16015: 削除された COM_ コマンドの使用を削除
 - WL#15985: Pure Python 用の authentication_ldap_sasl_client プラグインを使用する、Windows での GSSAPI/Kerberos 認証をサポート
 - WL#15983: mysql_ssl_set api の使用を停止
 - WL#15982: mysql_shutdown の使用を削除
 - WL#15950: プリペアドステートメントのクエリーパラメーターをサポート
 - WL#15942: タイプヒントを改善し、バイトタイプ処理を標準化
 - WL#15836: mysql と mysqlx を異なるパッケージに分割
 - WL#15523: Python DB API の非同期実行をサポート
 - BUG#35912790:プリペアドステートメントを使用する際にバイナリ文字列を変換
 - BUG#35832148:Django timezone.utc の非推奨警告を修正します
 - BUG#35710145: クエリーテキストにコードコメントが含まれている場合の不適切な MySQLCursor.statement と結果
 - BUG#21390859: ステートメントが結果セットと同期しない

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける python3-mysql-connector-python パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1231740

http://www.nessus.org/u?9dcdd012

https://www.suse.com/security/cve/CVE-2024-21272

プラグインの詳細

深刻度: High

ID: 210463

ファイル名: openSUSE-2024-0351-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/11/7

更新日: 2024/11/7

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.1

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-21272

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:python3-mysql-connector-python, cpe:/o:novell:opensuse:15.5

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/11/6

脆弱性公開日: 2024/10/15

参照情報

CVE: CVE-2024-21272