RHEL 7 : mariadb (RHSA-2016:0534)

high Nessus プラグイン ID 90300
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

mariadb 用の更新が、Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは、「参照」セクションで CVE リンクから脆弱性ごとに入手できます。

MariaDB は、MySQL とバイナリ相互性のあるマルチユーザーかつマルチスレッド SQL データベースサーバーです。

次のパッケージが新しい Upstream バージョンにアップグレードされました:
MariaDB(5.5.47)。変更内容の完全なリストについては、「参照」セクションにリストされている MariaDB のリリースノートを参照してください。

セキュリティ修正:

* TLS/SSL を使用して安全な接続を確立する際に、MariaDB クライアントライブラリが、X.509 証明書に記載されているサーバー ID に対して、ホスト名を適切にチェックしていないことが判明しました。中間者攻撃者がこの欠陥を利用して、クライアントに対してサーバーになりすます可能性があります。(CVE-2016-2047)

* この更新により、MariaDB データベースサーバーにあるいくつかの脆弱性が修正されます。この欠陥の詳細については、「参照」セクションに一覧されている Oracle Critical Patch Update アドバイザリページを参照してください。
(CVE-2015-4792、CVE-2015-4802、CVE-2015-4815、 CVE-2015-4816、CVE-2015-4819、CVE-2015-4826、 CVE-2015-4830、CVE-2015-4836、CVE-2015-4858、 CVE-2015-4861、CVE-2015-4870、CVE-2015-4879、 CVE-2015-4913、CVE-2016-0505、CVE-2016-0546、 CVE-2016-0596、CVE-2016-0597、CVE-2016-0598、 CVE-2016-0600、CVE-2016-0606、CVE-2016-0608、 CVE-2016-0609、CVE-2016-0616)

バグ修正:

* 2 つ以上の INSERT 操作が空でない InnoDB テーブルで同時に実行され、MariaDB の起動直後に AUTO_INCREMENT 列がプライマリキーとして定義されると、競合状態が発生する可能性があります。結果として、同時の INSERT 操作の 1 つが「Duplicate key」(「重複キー」)エラーメッセージで失敗していました。パッチが競合状態を防止するために適用されました。現時点では、同時の INSERT 操作が一意のプライマリキーを受け取る結果として、各行が挿入されるようになり、このシナリオで操作が失敗することはなくなりました。(BZ#1303946)

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://access.redhat.com/errata/RHSA-2016:0534

https://access.redhat.com/security/cve/cve-2015-4792

https://access.redhat.com/security/cve/cve-2015-4802

https://access.redhat.com/security/cve/cve-2015-4815

https://access.redhat.com/security/cve/cve-2015-4816

https://access.redhat.com/security/cve/cve-2015-4819

https://access.redhat.com/security/cve/cve-2015-4826

https://access.redhat.com/security/cve/cve-2015-4830

https://access.redhat.com/security/cve/cve-2015-4836

https://access.redhat.com/security/cve/cve-2015-4858

https://access.redhat.com/security/cve/cve-2015-4861

https://access.redhat.com/security/cve/cve-2015-4870

https://access.redhat.com/security/cve/cve-2015-4879

https://access.redhat.com/security/cve/cve-2015-4913

https://access.redhat.com/security/cve/cve-2016-0505

https://access.redhat.com/security/cve/cve-2016-0546

https://access.redhat.com/security/cve/cve-2016-0596

https://access.redhat.com/security/cve/cve-2016-0597

https://access.redhat.com/security/cve/cve-2016-0598

https://access.redhat.com/security/cve/cve-2016-0600

https://access.redhat.com/security/cve/cve-2016-0606

https://access.redhat.com/security/cve/cve-2016-0608

https://access.redhat.com/security/cve/cve-2016-0609

https://access.redhat.com/security/cve/cve-2016-0616

https://access.redhat.com/security/cve/cve-2016-0642

https://access.redhat.com/security/cve/cve-2016-0651

https://access.redhat.com/security/cve/cve-2016-2047

https://access.redhat.com/security/cve/cve-2016-3471

プラグインの詳細

深刻度: High

ID: 90300

ファイル名: redhat-RHSA-2016-0534.nasl

バージョン: 2.19

タイプ: local

エージェント: unix

公開日: 2016/4/1

更新日: 2019/10/24

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.6

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.6

ベクトル: AV:L/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:POC/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.7

ベクトル: CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:mariadb, p-cpe:/a:redhat:enterprise_linux:mariadb-bench, p-cpe:/a:redhat:enterprise_linux:mariadb-debuginfo, p-cpe:/a:redhat:enterprise_linux:mariadb-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-libs, p-cpe:/a:redhat:enterprise_linux:mariadb-server, p-cpe:/a:redhat:enterprise_linux:mariadb-test, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/3/31

脆弱性公開日: 2015/10/21

参照情報

CVE: CVE-2015-4792, CVE-2015-4802, CVE-2015-4815, CVE-2015-4816, CVE-2015-4819, CVE-2015-4826, CVE-2015-4830, CVE-2015-4836, CVE-2015-4858, CVE-2015-4861, CVE-2015-4870, CVE-2015-4879, CVE-2015-4913, CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-0642, CVE-2016-0651, CVE-2016-2047, CVE-2016-3471

RHSA: 2016:0534