RHEL 7 : mariadb (RHSA-2016:0534)
high Nessus プラグイン ID 90300
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
mariadb 用の更新が、Red Hat Enterprise Linux 7 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは、「参照」セクションで CVE リンクから脆弱性ごとに入手できます。
MariaDB は、MySQL とバイナリ相互性のあるマルチユーザーかつマルチスレッド SQL データベースサーバーです。
次のパッケージが新しい Upstream バージョンにアップグレードされました:
MariaDB(5.5.47)。変更内容の完全なリストについては、「参照」セクションにリストされている MariaDB のリリースノートを参照してください。
セキュリティ修正:
* TLS/SSL を使用して安全な接続を確立する際に、MariaDB クライアントライブラリが、X.509 証明書に記載されているサーバー ID に対して、ホスト名を適切にチェックしていないことが判明しました。中間者攻撃者がこの欠陥を利用して、クライアントに対してサーバーになりすます可能性があります。(CVE-2016-2047)
* この更新により、MariaDB データベースサーバーにあるいくつかの脆弱性が修正されます。この欠陥の詳細については、「参照」セクションに一覧されている Oracle Critical Patch Update アドバイザリページを参照してください。
(CVE-2015-4792、CVE-2015-4802、CVE-2015-4815、 CVE-2015-4816、CVE-2015-4819、CVE-2015-4826、 CVE-2015-4830、CVE-2015-4836、CVE-2015-4858、 CVE-2015-4861、CVE-2015-4870、CVE-2015-4879、 CVE-2015-4913、CVE-2016-0505、CVE-2016-0546、 CVE-2016-0596、CVE-2016-0597、CVE-2016-0598、 CVE-2016-0600、CVE-2016-0606、CVE-2016-0608、 CVE-2016-0609、CVE-2016-0616)
バグ修正:
* 2 つ以上の INSERT 操作が空でない InnoDB テーブルで同時に実行され、MariaDB の起動直後に AUTO_INCREMENT 列がプライマリキーとして定義されると、競合状態が発生する可能性があります。結果として、同時の INSERT 操作の 1 つが「Duplicate key」(「重複キー」)エラーメッセージで失敗していました。パッチが競合状態を防止するために適用されました。現時点では、同時の INSERT 操作が一意のプライマリキーを受け取る結果として、各行が挿入されるようになり、このシナリオで操作が失敗することはなくなりました。(BZ#1303946)
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/errata/RHSA-2016:0534
https://access.redhat.com/security/cve/cve-2015-4792
https://access.redhat.com/security/cve/cve-2015-4802
https://access.redhat.com/security/cve/cve-2015-4815
https://access.redhat.com/security/cve/cve-2015-4816
https://access.redhat.com/security/cve/cve-2015-4819
https://access.redhat.com/security/cve/cve-2015-4826
https://access.redhat.com/security/cve/cve-2015-4830
https://access.redhat.com/security/cve/cve-2015-4836
https://access.redhat.com/security/cve/cve-2015-4858
https://access.redhat.com/security/cve/cve-2015-4861
https://access.redhat.com/security/cve/cve-2015-4870
https://access.redhat.com/security/cve/cve-2015-4879
https://access.redhat.com/security/cve/cve-2015-4913
https://access.redhat.com/security/cve/cve-2016-0505
https://access.redhat.com/security/cve/cve-2016-0546
https://access.redhat.com/security/cve/cve-2016-0596
https://access.redhat.com/security/cve/cve-2016-0597
https://access.redhat.com/security/cve/cve-2016-0598
https://access.redhat.com/security/cve/cve-2016-0600
https://access.redhat.com/security/cve/cve-2016-0606
https://access.redhat.com/security/cve/cve-2016-0608
https://access.redhat.com/security/cve/cve-2016-0609
https://access.redhat.com/security/cve/cve-2016-0616
https://access.redhat.com/security/cve/cve-2016-0642
https://access.redhat.com/security/cve/cve-2016-0651
プラグインの詳細
深刻度: High
ID: 90300
ファイル名: redhat-RHSA-2016-0534.nasl
バージョン: 2.19
タイプ: local
エージェント: unix
公開日: 2016/4/1
更新日: 2019/10/24
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.6
CVSS v2
リスクファクター: High
基本値: 7.2
現状値: 5.6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:mariadb, p-cpe:/a:redhat:enterprise_linux:mariadb-bench, p-cpe:/a:redhat:enterprise_linux:mariadb-debuginfo, p-cpe:/a:redhat:enterprise_linux:mariadb-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-libs, p-cpe:/a:redhat:enterprise_linux:mariadb-server, p-cpe:/a:redhat:enterprise_linux:mariadb-test, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2016/3/31
脆弱性公開日: 2015/10/21
参照情報
CVE: CVE-2015-4792, CVE-2015-4802, CVE-2015-4815, CVE-2015-4816, CVE-2015-4819, CVE-2015-4826, CVE-2015-4830, CVE-2015-4836, CVE-2015-4858, CVE-2015-4861, CVE-2015-4870, CVE-2015-4879, CVE-2015-4913, CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-0642, CVE-2016-0651, CVE-2016-2047, CVE-2016-3471
RHSA: 2016:0534