検出

MySQL Authentication Protocol トークン比較キャスティング障害パスワードバイパス

medium Nessus プラグイン ID 61393

Language:

概要

リモートデータベースサーバーは、有効なパスワードなしでアクセスできます。

説明

MySQL サーバーの欠陥により、リモートユーザーは有効なパスワードなしで認証されます。これは、ランダムに生成されたトークンをキャストし、予測された値と比較する際の障害が原因です。

ソリューション

MySQL バージョン 5.1.63 / 5.5.24 以降にアップグレードしてください。

参考資料

https://seclists.org/oss-sec/2012/q2/493

https://bugs.mysql.com/bug.php?id=64884

プラグインの詳細

深刻度: Medium

ID: 61393

ファイル名: mysql_auth_bypass.nasl

バージョン: 1.13

タイプ: remote

ファミリー: Databases

公開日: 2012/8/2

更新日: 2019/3/27

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

CVSS v2

リスクファクター: Medium

基本値: 5.1

現状値: 4.2

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2012-2122

CVSS v3

リスクファクター: Medium

基本値: 5.6

現状値: 5.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:mysql:mysql, cpe:/a:oracle:mysql

除外される KB アイテム: global_settings/supplied_logins_only

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

Nessus によりエクスプロイト済み: true

パッチ公開日: 2012/5/7

脆弱性公開日: 2012/5/7

エクスプロイト可能

CANVAS (CANVAS)

参照情報

CVE: CVE-2012-2122

BID: 53911