検出

MariaDB 10.1.0 < 10.1.10 の複数の脆弱性

medium Nessus プラグイン ID 87726

Language:

概要

リモートのデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている MariaDB のバージョンは、10.1.10 より前です。したがって、mariadb-10110-release-notesアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 - MariaDB より前の 5.5.47、 10.0.x より前の 10.0.23]、および 10.1.x より前の 10.1.10Oracle MySQL 5.5.48 以前、 5.6.29 以前、 5.7.11 および以前。と Percona Server は、サーバーのホスト名がサブジェクトの Common NameCNまたは X.509 証明書の subjectAltName フィールドのドメイン名と一致しているかを適切に検証しません。これにより、中間攻撃者が / 経由で SSL サーバーを偽装することができます。 /OU=/CN=bar.com/CN=foo.com で実証されているように、証明書のフィールドに CN= 文字列を含めることができます。CVE-2016-2047

 - 5.5.46 Oracle MySQL 以前、 以前、および 5.6.27 および より前 5.5.47の、 より前の 、 10.0.23より 10.1.x 前の 5.7.9 のMariaDB における詳細 10.1.10 不明の脆弱性により 10.0.x 、ローカルユーザーが不明な権限を介して機密性、整合性、可用性に影響を与える可能性があります。クライアントに関連するベクトルを参照してください。注以前の情報は 2016 年 1 月 CPU のものです。これらは mysqlhow ツールの複数のバッファオーバーフローであり、リモートデータベースサーバーが長いテーブルまたはデータベース名を介して詳細不明な影響を与えることができるという、サードパーティの主張について Oracle はコメントしていません。CVE-2016-0546

 - 5.5.46 Oracle MySQL 以前、 以前、および 5.6.27 より前の 、 より前の 、 より 10.1.x 前の 5.7.9 のMariaDB における詳細不明な脆弱 5.5.47性により 10.0.x 、リモートの認証されたユーザーが Options に関連する未知のベクトルを通じて、可用性に影響を与える可能性 10.0.23があります 10.1.10 。 。CVE-2016-0505

 - Oracle 5.5.46 MySQL以前、 以前、ならびに MariaDB の より 5.5.47前、 10.0.x より 10.0.23前の 、 10.1.x より前の の MariaDB における詳細不明 10.1.10 の脆弱性により、リモートの認証されたユーザーが DML に関連するベクトルを通じて 5.6.27 、可用性に影響を与える可能性があります。CVE-2016-0596

 - 5.5.46 Oracle MySQL 以前、 以前、および 5.6.27 より前の 、 より前の 、 より 10.1.x 前の 5.7.9 のMariaDB における詳細 10.1.10 不明の脆弱性により 10.0.x 、リモートの認証されたユーザーが Optimizer に関連する未知のベクトルを通じて、可用性に影響を与える可能性 10.0.23があります 5.5.47。 。CVE-2016-0597

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

MariaDB バージョン 10.1.10以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?ddc6d820

プラグインの詳細

深刻度: Medium

ID: 87726

ファイル名: mariadb_10_1_10.nasl

バージョン: 1.20

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Databases

公開日: 2016/1/4

更新日: 2025/7/17

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.3

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2016-0546

CVSS v3

リスクファクター: Medium

基本値: 5.9

現状値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: manual

脆弱性情報

CPE: cpe:/a:mariadb:mariadb

必要な KB アイテム: installed_sw/MariaDB

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/12/18

脆弱性公開日: 2015/11/30

参照情報

CVE: CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-0642, CVE-2016-0651, CVE-2016-2047