Amazon Linux AMI:mysql55 (ALAS-2014-428)

high Nessus Plugin ID 78558
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

描述

Oracle MySQL 中 MySQL 伺服器元件存有一個弱點 (子元件:SERVER:SSL:yaSSL)。受到影響的支援版本是 5.5.39 與先前的版本,以及 5.6.20 與先前的版本。容易遭惡意利用的弱點,允許透過多個通訊協定成功發動未經驗證的網路攻擊。成功攻擊此弱點可能導致未經授權的 MySQL 伺服器接管,可能包括 MySQL 伺服器中的任意程式碼執行。(CVE-2014-6491)

Oracle MySQL 中 MySQL 伺服器元件存有一個弱點 (子元件:C API SSL CERTIFICATE HANDLING)。受到影響的支援版本是 5.5.39 與先前的版本,以及 5.6.20 與先前的版本。
難以惡意利用的弱點,可透過多個通訊協定成功發動未經驗證的網路攻擊。成功攻擊此弱點可能導致未經授權地讀取存取可供存取之所有 MySQL 伺服器資料。(CVE-2014-6559)

Oracle MySQL 中 MySQL 伺服器元件存有一個弱點 (子元件:SERVER:SSL:yaSSL)。受到影響的支援版本是 5.5.39 與先前的版本,以及 5.6.20 與先前的版本。容易遭惡意利用的弱點,允許透過多個通訊協定成功發動未經驗證的網路攻擊。成功攻擊此弱點可能導致未經授權的 MySQL 伺服器接管,可能包括 MySQL 伺服器中的任意程式碼執行。(CVE-2014-6500)

Oracle MySQL 中 MySQL 伺服器元件存有一個弱點 (子元件:CLIENT:SSL:yaSSL)。受到影響的支援版本是 5.5.39 與先前的版本,以及 5.6.20 與先前的版本。難以惡意利用的弱點,可透過多個通訊協定成功發動未經驗證的網路攻擊。若成功攻擊此弱點,可能導致 MySQL 伺服器未經授權即可造成懸置或經常重複性當機 (完全 DOS)。(CVE-2014-6494)

解決方案

執行「yum update mysql55」以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2014-428.html

Plugin 詳細資訊

嚴重性: High

ID: 78558

檔案名稱: ala_ALAS-2014-428.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2014/10/20

已更新: 2018/4/18

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.5

CVSS v2

風險因素: High

基本分數: 7.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:amazon:linux:mysql55, p-cpe:/a:amazon:linux:mysql55-bench, p-cpe:/a:amazon:linux:mysql55-common, p-cpe:/a:amazon:linux:mysql55-debuginfo, p-cpe:/a:amazon:linux:mysql55-devel, p-cpe:/a:amazon:linux:mysql55-embedded, p-cpe:/a:amazon:linux:mysql55-embedded-devel, p-cpe:/a:amazon:linux:mysql55-libs, p-cpe:/a:amazon:linux:mysql55-server, p-cpe:/a:amazon:linux:mysql55-test, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

修補程式發佈日期: 2014/10/16

參考資訊

CVE: CVE-2014-6491, CVE-2014-6494, CVE-2014-6500, CVE-2014-6559

ALAS: 2014-428