検出

Scientific Linux セキュリティ更新:SL7.x x86_64 の mariadb

medium Nessus プラグイン ID 90345

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

セキュリティ修正:

- TLS/SSL を使用して安全な接続を確立する際に、MariaDB クライアントライブラリが、X.509 証明書に記載されているサーバー ID に対して、ホスト名を適切にチェックしていないことが判明しました。中間者攻撃者がこの欠陥を利用して、クライアントに対してサーバーになりすます可能性があります。(CVE-2016-2047)

(CVE-2015-4792、CVE-2015-4802、CVE-2015-4815、 CVE-2015-4816、CVE-2015-4819、CVE-2015-4826、 CVE-2015-4830、CVE-2015-4836、CVE-2015-4858、 CVE-2015-4861、CVE-2015-4870、CVE-2015-4879、 CVE-2015-4913、CVE-2016-0505、CVE-2016-0546、 CVE-2016-0596、CVE-2016-0597、CVE-2016-0598、 CVE-2016-0600、CVE-2016-0606、CVE-2016-0608、 CVE-2016-0609、CVE-2016-0616)

バグ修正:

- 2 つ以上の INSERT 操作が空でない InnoDB テーブルで同時に実行され、MariaDB の起動直後に AUTO_INCREMENT 列がプライマリキーとして定義されると、競合状態が発生する可能性があります。結果として、同時の INSERT 操作の 1 つが「Duplicate key」(「重複キー」)エラーメッセージで失敗していました。パッチが競合状態を防止するために適用されました。現時点では、同時の INSERT 操作が一意のプライマリキーを受け取る結果として、各行が挿入されるようになり、このシナリオで操作が失敗することはなくなりました。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?2618662d

プラグインの詳細

深刻度: Medium

ID: 90345

ファイル名: sl_20160404_mariadb_on_SL7_x.nasl

バージョン: 2.10

タイプ: local

エージェント: unix

公開日: 2016/4/5

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.6

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: Medium

基本値: 5.9

現状値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:mariadb, p-cpe:/a:fermilab:scientific_linux:mariadb-bench, p-cpe:/a:fermilab:scientific_linux:mariadb-debuginfo, p-cpe:/a:fermilab:scientific_linux:mariadb-devel, p-cpe:/a:fermilab:scientific_linux:mariadb-embedded, p-cpe:/a:fermilab:scientific_linux:mariadb-embedded-devel, p-cpe:/a:fermilab:scientific_linux:mariadb-libs, p-cpe:/a:fermilab:scientific_linux:mariadb-server, p-cpe:/a:fermilab:scientific_linux:mariadb-test, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/4/4

脆弱性公開日: 2015/10/21

参照情報

CVE: CVE-2015-4792, CVE-2015-4802, CVE-2015-4815, CVE-2015-4816, CVE-2015-4819, CVE-2015-4826, CVE-2015-4830, CVE-2015-4836, CVE-2015-4858, CVE-2015-4861, CVE-2015-4870, CVE-2015-4879, CVE-2015-4913, CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-2047