检测

MariaDB 5.5.0 < 5.5.47 多个漏洞

medium Nessus 插件 ID 87727

语言:

简介

远程数据库服务器受到多个漏洞的影响。

描述

远程主机上安装的 MariaDB 版本低于 5.5.47。因此如公告 mariadb-5547-release-notes 所述受到多个漏洞的影响。

 - 低于 5.5.47的MariaDB、低于 10.0.x10.0.23] 的MariaDB 和低于 10.1.x10.1.10] 的MariaDB 中sql-common/client.c 中的 ssl_verify_server_cert 函数Oracle MySQL 5.5.48 和更早版本、 5.6.29 和更早版本以及 5.7.11 和更早版本和 Percona Server 未正确验证服务器主机名是否与 X.509 证书中主题公用名 (CN) 或 subjectAltName 字段中的域名匹配这允许中间人攻击者通过 / CN= 证书中字段中的字符串这一点已由 /OU=/CN=bar.com/CN=foo.com 证实。 (CVE-2016-2047)

 - Oracle MySQL 5.5.46 和更早版本、 5.6.27 和更早版本以及 5.7.9 和 MariaDB 低于 5.5.47的版本、低于 [] 的 10.0.2310.0.x 以及低于 10.1.x 的 10.1.10 中的不明漏洞允许本地用户通过未知漏洞影响机密性、完整性和可用性与客户端相关的矢量。注意之前的信息来自 2016 年 1 月的 CPU。Oracle 尚未对第三方声明进行评论这些声明是 mysqlshow 工具中的多种缓冲区溢出允许远程数据库服务器通过长表或数据库名称产生不明影响。 (CVE-2016-0546)

 - Oracle MySQL 5.5.46 和更早版本、 5.6.27 和更早版本以及 5.7.9 和 MariaDB 之前的 5.5.47版、 [] 之前的 10.0.x10.0.23版以及 10.1.x 之前的 10.1.10 版中存在不明漏洞允许经认证的远程用户通过与 Options 相关的未知矢量影响可用性。 。 (CVE-2016-0505)

 - Oracle MySQL 5.5.46 和更早版本以及 5.6.27 和更早版本以及低于 5.5.47] 的 MariaDB、低于 10.0.x10.0.23的 MariaDB 以及低于 10.1.x10.1.10 的 MariaDB 中的不明漏洞允许经过认证的远程用户通过与 DML 相关的矢量影响可用性。 (CVE-2016-0596)

 - Oracle MySQL 5.5.46 和更早版本、 5.6.27 和更早版本以及 5.7.9 和 MariaDB 之前的 5.5.47版、 [] 之前的 10.0.x10.0.23版以及 10.1.x 之前的 10.1.10 版中存在不明漏洞允许经认证的远程用户通过与优化器相关的未知矢量影响可用性。 (CVE-2016-0597)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 MariaDB 5.5.47 或更高版本。

另见

http://www.nessus.org/u?ba5d0bff

插件详情

严重性: Medium

ID: 87727

文件名: mariadb_5_5_47.nasl

版本: 1.18

类型: combined

代理: windows, macosx, unix

系列: Databases

发布时间: 2016/1/4

最近更新时间: 2025/7/17

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.3

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2016-0546

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: manual

漏洞信息

CPE: cpe:/a:mariadb:mariadb

必需的 KB 项: installed_sw/MariaDB

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/12/8

漏洞发布日期: 2015/11/30

参考资料信息

CVE: CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-0642, CVE-2016-0651, CVE-2016-2047