Amazon Linux AMI : mysql56 (ALAS-2017-888)

medium Nessus Plugin ID 102876
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

描述

Server:Charsets 不明弱點 (2017 年 7 月 CPU):Oracle MySQL 中 MySQL Server 元件存有一個弱點 (子元件:Server:Charsets)。受到影響的支援版本是 5.5.56 與更舊的版本、5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。難以惡意利用的弱點允許具有網路存取權的高權限攻擊者透過多個通訊協定危害 MySQL Server。若成功攻擊此弱點,可能導致 MySQL Server 未經授權即可造成懸置或經常重複性當機 (完全 DOS)。(CVE-2017-3648) Server:Replication 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Server:複寫)。受到影響的支援版本是 5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。難以惡意利用的弱點允許具有網路存取權的高權限攻擊者透過多個通訊協定危害 MySQL Server。若成功攻擊此弱點,可能導致 MySQL Server 未經授權即可造成懸置或經常重複性當機 (完全 DOS)。(CVE-2017-3649) Client mysqldump 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Client mysqldump)。受到影響的支援版本是 5.5.56 與更舊的版本、5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。可輕鬆惡意利用的弱點,允許具有網路存取權的低權限攻擊者透過多個通訊協定來危害 MySQL Server。成功攻擊此弱點可導致未經授權地更新、插入或刪除某些可供存取之 MySQL Server 資料的存取權。(CVE-2017-3651) Server:DDL 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Server:DDL)。受到影響的支援版本是 5.5.56 與更舊的版本、5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。難以惡意利用的弱點允許具有網路存取權的低權限攻擊者透過多個通訊協定危害 MySQL Server。成功攻擊此弱點可導致未經授權地更新、插入或刪除某些可供存取之 MySQL Server 資料的存取權。(CVE-2017-3653) Server:DML 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Server:DML)。受到影響的支援版本是 5.5.56 與更舊的版本、5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。可輕鬆惡意利用的弱點,允許具有網路存取權的高權限攻擊者透過多個通訊協定來危害 MySQL Server。若成功攻擊此弱點,可能導致 MySQL Server 未經授權即可造成懸置或經常重複性當機 (完全 DOS)。(CVE-2017-3641) Replication 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Server:複寫)。受到影響的支援版本是 5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。難以惡意利用的弱點允許具有網路存取權的高權限攻擊者透過多個通訊協定危害 MySQL Server。若成功攻擊此弱點,可能導致 MySQL Server 未經授權即可造成懸置或經常重複性當機 (完全 DOS)。(CVE-2017-3647) Server:Memcached 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Server:Memcached)。受到影響的支援版本是 5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。難以惡意利用的弱點允許具有網路存取權的未經驗證攻擊者透過 Memcached 入侵 MySQL Server。成功攻擊此弱點可導致未經授權便能造成 MySQL Server 懸置或經常重複性當機 (完全 DOS),以及未經授權地更新、插入或刪除某些 MySQL Server 可存取資料的存取權。(CVE-2017-3633) C API 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Connectors 元件中存有一個弱點 (子元件:Connector/C)。受到影響的支援版本是 6.1.10 與更舊的版本。難以惡意利用的弱點允許具有網路存取權的低權限攻擊者透過多個通訊協定入侵 MySQL Connectors。若成功攻擊此弱點,可能導致 MySQL Connectors 未經授權即可造成懸置或經常重複性當機 (完全 DOS)。注意:此文件已針對使用 mysql_stmt_close() 的正確方式更新。請參閱:https://dev.mysql.com/doc/refman/5.7/en/mysql-stmt-execute.html、https://dev.mysql.com/doc/refman/5.7/en/mysql-stmt-fetch.html、https://dev.mysql.com/doc/refman/5.7/en/mysql-stmt-close.html、https://dev.mysql.com/doc/refman/5.7/en/mysql-stmt-error.html、https://dev.mysql.com/doc/refman/5.7/en/mysql-stmt-errno.html 和 https://dev.mysql.com/doc/refman/5.7/en/mysql-stmt-sqlstate.html。(CVE-2017-3635) Server:DML 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Server:DML)。受到影響的支援版本是 5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。可輕鬆惡意利用的弱點,允許具有網路存取權的低權限攻擊者透過多個通訊協定來危害 MySQL Server。若成功攻擊此弱點,可能導致 MySQL Server 未經授權即可造成懸置或經常重複性當機 (完全 DOS)。(CVE-2017-3634) Server:DDL 不明弱點 (2017 年 7 月 CPU) 在 Oracle MySQL 的 MySQL Server 元件中存有一個弱點 (子元件:Server:DDL)。受到影響的支援版本是 5.5.56 與更舊的版本、5.6.36 與更舊的版本,以及 5.7.18 與更舊的版本。難以惡意利用的弱點允許具有網路存取權的低權限攻擊者透過多個通訊協定危害 MySQL Server。成功攻擊此弱點可導致未經授權地更新、插入或刪除某些可供存取之 MySQL Server 資料的存取權,以及未經授權地讀取可供存取之 MySQL Server 資料的子集存取權。(CVE-2017-3652)

解決方案

執行「yum update mysql56」以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2017-888.html

Plugin 詳細資訊

嚴重性: Medium

ID: 102876

檔案名稱: ala_ALAS-2017-888.nasl

版本: 3.4

類型: local

代理程式: unix

已發布: 2017/9/1

已更新: 2019/7/10

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 5.8

媒介: AV:N/AC:M/Au:N/C:N/I:P/A:P

CVSS v3

風險因素: Medium

基本分數: 6.5

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H

弱點資訊

CPE: p-cpe:/a:amazon:linux:mysql56, p-cpe:/a:amazon:linux:mysql56-bench, p-cpe:/a:amazon:linux:mysql56-common, p-cpe:/a:amazon:linux:mysql56-debuginfo, p-cpe:/a:amazon:linux:mysql56-devel, p-cpe:/a:amazon:linux:mysql56-embedded, p-cpe:/a:amazon:linux:mysql56-embedded-devel, p-cpe:/a:amazon:linux:mysql56-errmsg, p-cpe:/a:amazon:linux:mysql56-libs, p-cpe:/a:amazon:linux:mysql56-server, p-cpe:/a:amazon:linux:mysql56-test, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

修補程式發佈日期: 2017/8/31

弱點發布日期: 2017/8/8

參考資訊

CVE: CVE-2017-3633, CVE-2017-3634, CVE-2017-3635, CVE-2017-3641, CVE-2017-3647, CVE-2017-3648, CVE-2017-3649, CVE-2017-3651, CVE-2017-3652, CVE-2017-3653

ALAS: 2017-888