Oracle MySQL Connectors 多個弱點 (2019 年 4 月 CPU)
medium Nessus Plugin ID 125340
語系:
概要
遠端主機受多個弱點影響。說明
遠端主機上安裝的 Oracle MySQL Connectors 為比 8.0.16 舊的 8.0.x 版或比 5.3.13 舊的 5.3.x 版。因此,會受到 2019 年 4 月重大修補程式更新公告所述的多個弱點影響:- Connector/J 子元件中有一個不明弱點。經驗證的攻擊者可惡意利用此問題,完全掌控目標系統。(CVE-2019-2692) - Connector/ODBC (OpenSSL) 子元件中有一個 padding oracle 弱點。若將應用程式配置為使用「非拼接式」(non-stitched) 密碼套件,遠端攻擊者就可觸發致命的通訊協定錯誤情形。易受害的應用程式出現 padding 相關錯誤訊息,攻擊者可藉以將資料解密。(CVE-2019-1559) 請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。解決方案
按照 2019 年 4 月 Oracle 重大修補程式更新公告,套用適當的修補程式。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 125340
檔案名稱: oracle_mysql_connectors_cpu_apr_2019.nasl
版本: 1.9
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2019/5/22
已更新: 2022/12/5
組態: 啟用徹底檢查
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2019-1559
CVSS v3
風險因素: Medium
基本分數: 6.3
時間分數: 5.5
媒介: CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2019-2692
弱點資訊
CPE: cpe:/a:oracle:mysql_connectors
必要的 KB 項目: installed_sw/MySQL Connector
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2019/4/16
弱點發布日期: 2019/4/16
參考資訊
CVE: CVE-2019-1559, CVE-2019-2692
IAVA: 2019-A-0122-S