Amazon Linux AMI:mysql56 (ALAS-2016-684)

medium Nessus Plugin ID 90366
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

描述

3.6.8 之前的 wolfSSL (之前稱為 CyaSSL) 版本在沒有進行低記憶體最佳化的情況下,於伺服器上允許暫時金鑰交換時,未正確處理和中國餘數定理 (CRT) 處理程序有關的錯誤,其可讓遠端攻擊者更容易透過擷取 TLS 交握 (亦稱為 Lenstra 攻擊) 取得私密 RSA 金鑰。
(CVE-2015-7744)

Oracle MySQL Server 5.6.24 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Security : Privileges 有關的未知向量影響完整性。(CVE-2015-4864)

Oracle MySQL Server 5.6.23 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : InnoDB 有關的未知向量影響可用性。(CVE-2015-4866)

5.5.45 和更舊版本以及 5.6.26 和更舊版本的 Oracle MySQL Server 中存在不明弱點,會允許經驗證的遠端使用者透過與 Server : InnoDB 有關的未知向量,影響可用性。
(CVE-2015-4861)

在 5.6.26 和更舊版本的 Oracle MySQL Server 中存在一個不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量,影響可用性。(CVE-2015-4862)

在 5.5.46 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 Optimizer 有關的未知向量,影響可用性。(CVE-2016-0616)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Memcached 有關的未知向量影響可用性。(CVE-2015-4910)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : DML 有關的向量影響可用性;此弱點與 CVE-2015-4858 不同。(CVE-2015-4913)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 InnoDB 有關的未知向量,影響可用性。(CVE-2016-0610)

在 5.6.21 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量,影響可用性。(CVE-2016-0594)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量,影響可用性。(CVE-2016-0595)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量,影響可用性。(CVE-2016-0596)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 Optimizer 有關的未知向量,影響可用性。(CVE-2016-0597)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量,影響可用性。(CVE-2016-0598)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Partition 有關的未知向量影響可用性;此弱點與 CVE-2015-4802 不同。(CVE-2015-4792)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Security : Privileges 有關的未知向量影響可用性。(CVE-2015-4791)

5.6.26 和更舊版本的 Oracle MySQL Server 中存在不明弱點,在 Windows 上執行時,會允許經驗證的遠端使用者透過與 Server : Query Cache 有關的未知向量影響可用性。
(CVE-2015-4807)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Parser 有關的未知向量影響可用性。(CVE-2015-4870)

在 5.7.9 版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 Optimizer 有關的未知向量,影響可用性。(CVE-2016-0599)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許本機使用者透過與 Client 有關的未知向量,影響機密性、完整性和可用性。(CVE-2016-0546)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量影響可用性;此弱點與 CVE-2015-4913 不同。
(CVE-2015-4858)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : DDL 有關的向量影響可用性。(CVE-2015-4815)

Oracle MySQL Server 5.6.25 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Partition 有關的未知向量影響可用性。(CVE-2015-4833)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Security : Privileges 有關的未知向量影響完整性。(CVE-2015-4830)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : SP 有關的未知向量影響可用性。(CVE-2015-4836)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 UDF 有關的向量,影響可用性。(CVE-2016-0608)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與權限有關的未知向量,影響可用性。(CVE-2016-0609)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 Options 有關的未知向量,影響可用性。(CVE-2016-0505)

Oracle MySQL 5.6.27 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量影響可用性;此弱點與 CVE-2016-0503 不同。(CVE-2016-0504)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Replication 有關的未知向量影響可用性。(CVE-2015-4890)

在 5.7.9 版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 Partition 有關的未知向量,影響可用性。(CVE-2016-0601)

Oracle MySQL Server 5.6.25 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 libmysqld 有關的未知向量影響可用性。(CVE-2015-4904)

Oracle MySQL Server 5.6.23 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : DML 有關的向量影響可用性。(CVE-2015-4905)

在 5.6.26 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過未知向量,影響可用性。
(CVE-2016-0605)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與加密有關的未知向量,影響完整性。(CVE-2016-0606)

Oracle MySQL Server 5.6.25 和更舊版本中有不明弱點,允許本機使用者透過與 Server : Security : Firewall 有關的未知向量影響可用性。(CVE-2015-4766)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 Optimizer 有關的未知向量,影響可用性。(CVE-2016-0611)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許本機使用者透過與 replication 有關的未知向量,影響可用性。(CVE-2016-0607)

在 5.6.25 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許本機使用者透過與 Client programs 有關的未知向量,影響機密性、完整性和可用性。
(CVE-2015-4819)

在 5.6.25 和更舊版本的 Oracle MySQL Server 中存在一個不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量,影響機密性、完整性和可用性。
(CVE-2015-4879)

在 5.6.11 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 Optimizer 有關的未知向量,影響可用性。(CVE-2016-0502)

Oracle MySQL Server 5.6.25 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : InnoDB 有關的未知向量影響可用性。(CVE-2015-4895)

Oracle MySQL 5.6.27 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 DML 有關的向量影響可用性;此弱點與 CVE-2016-0504 不同。(CVE-2016-0503)

在 5.6.27 和更舊版本的 Oracle MySQL 中存在一個不明弱點,允許經驗證的遠端使用者透過與 InnoDB 有關的未知向量,影響可用性。(CVE-2016-0600)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Partition 有關的未知向量影響可用性;此弱點與 CVE-2015-4792 不同。(CVE-2015-4802)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Optimizer 有關的未知向量影響可用性。(CVE-2015-4800)

Oracle MySQL Server 5.6.26 和更舊版本中有不明弱點,允許經驗證的遠端使用者透過與 Server : Types 有關的未知向量影響機密性。(CVE-2015-4826)

解決方案

執行「yum update mysql56」以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2016-684.html

Plugin 詳細資訊

嚴重性: Medium

ID: 90366

檔案名稱: ala_ALAS-2016-684.nasl

版本: 2.8

類型: local

代理程式: unix

已發布: 2016/4/7

已更新: 2019/7/10

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 6.6

CVSS v2

風險因素: High

基本分數: 7.2

時間分數: 5.6

媒介: AV:L/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:POC/RL:OF/RC:C

CVSS v3

風險因素: Medium

基本分數: 5.9

時間分數: 5.3

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:mysql56, p-cpe:/a:amazon:linux:mysql56-bench, p-cpe:/a:amazon:linux:mysql56-common, p-cpe:/a:amazon:linux:mysql56-debuginfo, p-cpe:/a:amazon:linux:mysql56-devel, p-cpe:/a:amazon:linux:mysql56-embedded, p-cpe:/a:amazon:linux:mysql56-embedded-devel, p-cpe:/a:amazon:linux:mysql56-errmsg, p-cpe:/a:amazon:linux:mysql56-libs, p-cpe:/a:amazon:linux:mysql56-server, p-cpe:/a:amazon:linux:mysql56-test, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2016/4/6

弱點發布日期: 2015/10/21

參考資訊

CVE: CVE-2015-4766, CVE-2015-4791, CVE-2015-4792, CVE-2015-4800, CVE-2015-4802, CVE-2015-4807, CVE-2015-4815, CVE-2015-4819, CVE-2015-4826, CVE-2015-4830, CVE-2015-4833, CVE-2015-4836, CVE-2015-4858, CVE-2015-4861, CVE-2015-4862, CVE-2015-4864, CVE-2015-4866, CVE-2015-4870, CVE-2015-4879, CVE-2015-4890, CVE-2015-4895, CVE-2015-4904, CVE-2015-4905, CVE-2015-4910, CVE-2015-4913, CVE-2015-7744, CVE-2016-0502, CVE-2016-0503, CVE-2016-0504, CVE-2016-0505, CVE-2016-0546, CVE-2016-0594, CVE-2016-0595, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0599, CVE-2016-0600, CVE-2016-0601, CVE-2016-0605, CVE-2016-0606, CVE-2016-0607, CVE-2016-0608, CVE-2016-0609, CVE-2016-0610, CVE-2016-0611, CVE-2016-0616

ALAS: 2016-684