Mandriva Linux 安全性公告:mariadb (MDVSA-2014:028)

high Nessus Plugin ID 72495

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

在 mariadb 中發現多個弱點並已更正:

在 Oracle MySQL 和 MariaDB 5.5.35 以前的版本中,client/mysql.cc 內的緩衝區溢位允許遠端資料庫伺服器透過長伺服器版本字串,造成拒絕服務 (當機) 且可能執行任意程式碼 (CVE-2014-0001)。

5.1.72 和更舊版本、5.5.34 和更舊版本以及 5.6.14 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經驗證的遠端使用者透過與 InnoDB 相關的未知向量,影響可用性 (CVE-2014-0412)。

5.1.72 和更舊版本、5.5.34 和更舊版本以及 5.6.14 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經過驗證的遠端使用者透過與 Optimizer 相關的未知向量來影響可用性 (CVE-2014-0437)。

5.1.72 和更舊版本、5.5.34 和更舊版本以及 5.6.14 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許遠端攻擊者透過與 Error Handling 相關的未知向量,影響可用性 (CVE-2013-5908)。

5.5.34 和更舊版本以及 5.6.14 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經驗證的遠端使用者透過與 Replication 相關的未知向量,影響可用性 (CVE-2014-0420)。

5.1.71 和更舊版本、5.5.33 和更舊版本以及 5.6.13 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經驗證的遠端使用者透過與 InnoDB 相關的未知向量,影響完整性 (CVE-2014-0393)。

5.5.33 和更舊版本以及 5.6.13 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經驗證的遠端使用者透過與 Partition 相關的未知向量,影響可用性 (CVE-2013-5891)。

5.1.71 和更舊版本、5.5.33 和更舊版本以及 5.6.13 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經過驗證的遠端使用者透過與 Optimizer 相關的未知向量來影響可用性 (CVE-2014-0386)。

5.1.72 和更舊版本、5.5.34 和更舊版本以及 5.6.14 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經驗證的遠端使用者透過未知向量,影響可用性 (CVE-2014-0401)。

5.1.71 和更舊版本、5.5.33 和更舊版本以及 5.6.13 和更舊版本的 Oracle MySQL 中,MySQL Server 元件的不明弱點允許經驗證的遠端使用者透過與 Locking 相關的未知向量,影響可用性 (CVE-2014-0402)。

更新版套件已升級至 5.5.35 版,該版本不會受到這些問題的影響。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?17c46362

https://mariadb.com/kb/en/library/mariadb-5535-release-notes/

Plugin 詳細資訊

嚴重性: High

ID: 72495

檔案名稱: mandriva_MDVSA-2014-028.nasl

版本: 1.6

類型: local

已發布: 2014/2/14

已更新: 2021/1/6

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:ND/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:mandriva:linux:lib64mariadb-devel, p-cpe:/a:mandriva:linux:lib64mariadb-embedded-devel, p-cpe:/a:mandriva:linux:lib64mariadb-embedded18, p-cpe:/a:mandriva:linux:lib64mariadb18, p-cpe:/a:mandriva:linux:mariadb, p-cpe:/a:mandriva:linux:mariadb-bench, p-cpe:/a:mandriva:linux:mariadb-client, p-cpe:/a:mandriva:linux:mariadb-common, p-cpe:/a:mandriva:linux:mariadb-common-core, p-cpe:/a:mandriva:linux:mariadb-core, p-cpe:/a:mandriva:linux:mariadb-extra, p-cpe:/a:mandriva:linux:mariadb-feedback, p-cpe:/a:mandriva:linux:mariadb-obsolete, p-cpe:/a:mandriva:linux:mysql-MariaDB, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/2/13

參考資訊

CVE: CVE-2013-5891, CVE-2013-5908, CVE-2014-0001, CVE-2014-0386, CVE-2014-0393, CVE-2014-0401, CVE-2014-0402, CVE-2014-0412, CVE-2014-0420, CVE-2014-0437

BID: 64888, 64891

MDVSA: 2014:028