検出

MySQL Enterprise Monitor 2.3.x < 2.3.21 / 3.0.x < 3.0.23 複数の脆弱性

high Nessus プラグイン ID 86548

Language:

概要

リモートホストで起動している Web アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートホストで実行している MySQL Enterprise Monitor アプリケーションは 2.3.21 より前の 2.3.x または 3.0.23 より前の 3.0.x です。このため、複数の脆弱性の影響を受ける可能性があります:

- ブーリアン型比較の実行が不適切実行されているため、無効な読み取りのエラーが ASN1_TYPE_cmp() 関数に存在しています。リモートの攻撃者が、これを悪用して、証明書検証機能を使用するエンドポイントに対する細工された X.509 証明書を使用することにより、無効な読み取り動作を引き起こし、サービス拒否を引き起こす可能性があります。
 (CVE-2015-0286)

- サービス拒否の脆弱性がインデックスを適切に計算する fix_hostname() 関数による失敗によって libcurl ライブラリに存在します。認証されていないリモートの攻撃者がこの欠陥を悪用して、ゼロレングスのホスト名を介して、サービス拒否を引き起こしたり、その他の詳細不明の影響を与えたりする可能性があります。(CVE-2015-3144)

ソリューション

MySQL Enterprise Monitor バージョン 2.3.21 / 3.0.23 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?56618dc1

http://www.nessus.org/u?1de82df5

https://dev.mysql.com/doc/relnotes/mysql-monitor/8.0/en/

プラグインの詳細

深刻度: High

ID: 86548

ファイル名: mysql_enterprise_monitor_3_0_23.nasl

バージョン: 1.12

タイプ: remote

ファミリー: CGI abuses

公開日: 2015/10/22

更新日: 2021/1/19

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2015-3144

脆弱性情報

CPE: cpe:/a:mysql:enterprise_monitor

必要な KB アイテム: Settings/ParanoidReport, installed_sw/MySQL Enterprise Monitor

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/7/31

脆弱性公開日: 2015/3/16

参照情報

CVE: CVE-2015-0286, CVE-2015-3144

BID: 73225, 74300