Ubuntu 16.04 ESM:DBD: : mysql 弱點 (USN-5344-1)
critical Nessus Plugin ID 183695
語系:
概要
遠端 Ubuntu 主機缺少一個或多個安全性更新。說明
遠端 Ubuntu 16.04 ESM 主機上安裝的一個套件受到 USN-5344-1 公告中提及的多個弱點影響。- The DBD: : Perl 4.039 之前的 DBD:mysql 模組允許攻擊者透過涉及 WHERE 條件中未對齊數量的預留位置的向量,以及 SELECT 運算式的輸出欄位造成拒絕服務 (超出邊界讀取) 。(CVE-2016-1249)
- 與 mysql_server_prepare=1 搭配使用時,釋放後使用類型的弱點會影響 DBD: : mysql (即 DBD-mysql 或適用於 Perl 的資料庫介面 (DBI) MySQL 驅動程式) 3.x 和 4.x 之前的 4.041。
(CVE-2016-1251)
- Perl 中 DBD: : mysql 模組 4.043 到 為止的所有版本讓遠端攻擊者可藉由透過觸發 (1) 來自 MySQL 伺服器的特定錯誤回應或 (2) 失去與 MySQL 伺服器的連線,造成拒絕服務 (釋放後使用和應用程式損毀) 或可能有其他不明影響。依靠錯誤的 Oracle mysql_stmt_close 文件和程式碼範本造成引發釋放後使用缺陷。(CVE-2017-10788)
- Perl 中 DBD: : mysql 模組到 4.043 為止的所有版本使用 mysql_ssl=1 設定來代表 SSL 是選用項目 (即使此設定的文件中有聲明「會加密您與伺服器的通訊」),攔截式攻擊者可藉此透過明文降級攻擊來偽造伺服器,這是與 CVE-2015-3152 相關的問題。(CVE-2017-10789)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級受影響的 libdbd-mysql-perl 套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 183695
檔案名稱: ubuntu_USN-5344-1.nasl
版本: 1.0
類型: local
代理程式: unix
已發布: 2023/10/23
已更新: 2023/10/23
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2017-10788
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:esm, p-cpe:/a:canonical:ubuntu_linux:libdbd-mysql-perl
必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2022/4/1
弱點發布日期: 2016/11/15
參考資訊
CVE: CVE-2016-1249, CVE-2016-1251, CVE-2017-10788, CVE-2017-10789
USN: 5344-1