検出

MiracleLinux 4rh-mysql57-mysql-5.7.20-1.AXS4AXSA:2017-2483:02

medium Nessus プラグイン ID 289435

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのMiracleLinux 4ホストには、AXSA:2017-2483:02アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 * この更新により、MySQL データベースサーバーにある複数の脆弱性が修正されます。これらの欠陥の詳細については、「参照」セクションに一覧表示されている Oracle Critical Patch Update アドバイザリページを参照してください。
 CVE-2017-10155、 CVE-2017-10165、 CVE-2017-10167、 CVE-2017-10227、 CVE-2017-10268、 CVE-2017-10276、 CVE-2017-10279、 CVE-2017-10283、 CVE-2017-10284[]、 、 CVE-2017-10286、 CVE-2017-10294、 CVE-2017-10296、 CVE-2017-10311、 CVE-2017-10313、 CVE-2017-10314、 CVE-2017-10320、 CVE-2017-10365、、、、、、、、、、、、、、、、、、、、、、、、、、 CVE-2017-10378​ CVE-2017-10379​ CVE-2017-10384​ CVE-2017-10155 ​ サポートされているバージョンで影響を受けるのは5.6.37以前、5.7.19以前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 7.5(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10165 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーレプリケーション。影響を受けるサポート対象のバージョンは5.7.19以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10167 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーオプティマイザー。影響を受けるサポート対象のバージョンは5.7.19以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 6.5(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10227 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーオプティマイザー。サポートされているバージョンで影響を受けるのは5.6.37以前、5.7.19以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10268 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーレプリケーション。サポートされているバージョンで影響を受けるのは5.5.57以前、5.6.37以前、5.7.19以前です。悪用が難しい脆弱性ですが、MySQL Server が実行されているインフラストラクチャにログオンでき、高い権限を持つ攻撃者が MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.0ベーススコア4.1 (機密性に影響)。CVSS Vector:
 (CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N)。
 CVE-2017-10276 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーFTS。サポートされているバージョンで影響を受けるのは5.6.37以前、5.7.19以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 6.5(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10279 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーオプティマイザー。サポートされているバージョンで影響を受けるのは5.6.36以前、5.7.18以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10283 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーパフォーマンススキーマ。サポートされているバージョンで影響を受けるのは5.6.37以前、5.7.19以前です。悪用が難しい脆弱性ですが、権限が低い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Serverをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全なDOS) があります。CVSS 3.0ベーススコア 5.3(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10284 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーストアドプロシージャ。影響を受けるサポート対象のバージョンは5.7.18以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10286 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーInnoDB。サポートされているバージョンで影響を受けるのは5.6.37以前、5.7.19以前です。悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.4(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10294 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーオプティマイザー。サポートされているバージョンで影響を受けるのは5.6.37以前、5.7.19以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10296 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーDML。影響を受けるサポート対象のバージョンは5.7.18以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10311 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーFTS。影響を受けるサポート対象のバージョンは5.7.19以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10313 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントグループレプリケーションGCS。影響を受けるサポート対象のバージョンは5.7.19以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10314 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーMemcached。サポートされているバージョンで影響を受けるのは5.6.37以前、5.7.19以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10320 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーInnoDB。影響を受けるサポート対象のバージョンは5.7.19以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10365 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーInnoDB。影響を受けるサポート対象のバージョンは5.7.18以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性への攻撃に成功した場合、権限なしの更新、一部のMySQL Server のアクセス可能なデータの挿入または削除アクセス、およびMySQL Server の部分的なサービス拒否 (部分的DOS) が起こる可能性があります。CVSS 3.0ベーススコア 3.8(整合性と可用性に影響) CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L)。
 CVE-2017-10378 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーオプティマイザー。サポートされているバージョンで影響を受けるのは5.5.57以前、5.6.37以前、5.7.11以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0基本値 6.5(可用性に影響) CVSS ベクトル: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。
 CVE-2017-10379 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントClientプログラム。サポートされているバージョンで影響を受けるのは5.5.57以前、5.6.37以前、5.7.19以前です。
 容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。
 この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.0 ベーススコア 6.5 (機密性に影響)。
 CVSS ベクトル: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)。
 CVE-2017-10384 Oracle MySQLのMySQL Serverコンポーネントにある脆弱性サブコンポーネントサーバーDDL。サポートされているバージョンで影響を受けるのは 5.5.57 以前、5.6.37 以前、5.7.19 以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.0ベーススコア 6.5(可用性に影響)。CVSS Vector:
 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/8926

プラグインの詳細

深刻度: Medium

ID: 289435

ファイル名: miracle_linux_AXSA-2017-2483.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 5.5

現状値: 4.1

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P

CVSS スコアのソース: CVE-2017-10365

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2017-10379

脆弱性情報

CPE: p-cpe:/a:miracle:linux:rh-mysql57-mysql-config, p-cpe:/a:miracle:linux:rh-mysql57-mysql-devel, p-cpe:/a:miracle:linux:rh-mysql57-mysql-test, p-cpe:/a:miracle:linux:rh-mysql57-mysql, p-cpe:/a:miracle:linux:rh-mysql57-mysql-errmsg, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:rh-mysql57-mysql-server, p-cpe:/a:miracle:linux:rh-mysql57-mysql-common

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/12/18

脆弱性公開日: 2017/10/17

参照情報

CVE: CVE-2017-10155, CVE-2017-10165, CVE-2017-10167, CVE-2017-10227, CVE-2017-10268, CVE-2017-10276, CVE-2017-10279, CVE-2017-10283, CVE-2017-10284, CVE-2017-10286, CVE-2017-10294, CVE-2017-10296, CVE-2017-10311, CVE-2017-10313, CVE-2017-10314, CVE-2017-10320, CVE-2017-10365, CVE-2017-10378, CVE-2017-10379, CVE-2017-10384