mariadb が、25 件のセキュリティ問題を修正するためにバージョン 10.0.25 に更新されました。

これらのセキュリティの問題が修正されました：

- CVE-2016-0505：詳細不明な脆弱性により、リモートの認証されたユーザーが Options に関連する未知のベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0546：詳細不明な脆弱性により、ローカルユーザーはクライアントに関連する不明なベクトルを通じて、機密性、整合性および可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0596：詳細不明な脆弱性により、リモートの認証されたユーザーが DML に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0597：詳細不明な脆弱性により、リモートの認証されたユーザーが Optimizer に関連する未知のベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0598：詳細不明な脆弱性により、リモートの認証されたユーザーが DML に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0600：詳細不明な脆弱性により、リモートの認証されたユーザーが InnoDB に関連する未知のベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0606：詳細不明な脆弱性により、リモートの認証されたユーザーが暗号化に関連する未知のベクトルを通じて、整合性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0608：詳細不明な脆弱性により、リモートの認証されたユーザーが UDF に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0609：詳細不明な脆弱性により、リモートの認証されたユーザーが権限に関連する未知のベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0616：詳細不明な脆弱性により、リモートの認証されたユーザーが Optimizer に関連する未知のベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0640：詳細不明な脆弱性により、ローカルユーザーは DML に関連するベクトルを通じて、整合性および可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0641：詳細不明な脆弱性により、ローカルユーザーは MyISAM に関連するベクトルを通じて、機密性および可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0642：詳細不明な脆弱性により、ローカルユーザーは Federated に関連するベクトルを通じて、整合性および可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0643：詳細不明な脆弱性により、ローカルユーザーは DML に関連するベクトルを通じて、機密性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0644：詳細不明な脆弱性により、ローカルユーザーは DDL に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0646：詳細不明な脆弱性により、ローカルユーザーは DML に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0647：詳細不明な脆弱性により、ローカルユーザーは FTS に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0648：詳細不明な脆弱性により、ローカルユーザーは PS に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0649：詳細不明な脆弱性により、ローカルユーザーは PS に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0650：詳細不明な脆弱性により、ローカルユーザーはレプリケーションに関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0651：詳細不明な脆弱性により、ローカルユーザーは Optimizer に関連するベクトルを通じて可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0655：詳細不明な脆弱性により、ローカルユーザーは InnoDB に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0666：詳細不明な脆弱性により、ローカルユーザーは Security：Privileges に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-0668：詳細不明な脆弱性により、ローカルユーザーは InnoDB に関連するベクトルを通じて、可用性に影響を与えることが可能でした（bsc#980904）。

- CVE-2016-2047：sql-common/client.c の ssl_verify_server_cert 関数は、サーバーのホスト名が対象の Common Name（CN）または X.509 証明書の subjectAltName フィールドのドメイン名と一致しているかを適切に検証しませんでした。これにより、中間者攻撃者が、証明書のフィールドの「/CN=」文字列を通じて SSL サーバーを偽装することが可能でした。これは、「/OU=/CN=bar.com/CN=foo.com」によって実証されています（bsc#963806）。

以下のセキュリティ以外の問題が、修正されました。

- bsc#960961：default_plugins.cnf で「plugin-load」の代わりに「plugin-load-add」を使用します。これには、最後のプラグインのみが実際にロードされるようにする「plugin-load」オプションが含まれていました（「plugin-load」は以前の「plugin-load」をオーバーライドします）

- bsc#961935：「-DWITH_COMMENT」および「DCOMPILATION_COMMENT」オプションの「openSUSE」文字列の名残を削除します。

注意：Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

検出

SUSE SLED12 / SLES12 セキュリティ更新： mariadb （SUSE-SU-2016:1619-1）

medium Nessus プラグイン ID 93158

バージョン 2.10