MariaDB 10.0.0 < 10.0.13 多个漏洞

high Nessus 插件 ID 129359

简介

远程数据库服务器受到多个漏洞的影响

描述

远程主机上安装的 MariaDB 版本低于 10.0.13。因此,如公告 mariadb-10013-release-notes 所述,受到多个漏洞影响,包括如下:- OpenSSL 中存在的缺陷,未能正确限制 ChangeCipherSpec 消息的处理。中间人攻击者可利用此缺陷,通过构建的 TLS 握手强制某些 OpenSSL 到 OpenSSL 通信中使用零长度主密钥,从而导致会话被劫持,敏感信息被泄露。(CVE-2014-0224) - OpenSSL 中存在关于无效 DTLS 碎片处理的缓冲区溢出错误,可导致执行任意代码或拒绝服务。其原因在于未正确验证 DTLS ClientHello 消息中的碎片长度。(CVE-2014-0195) - MariaDB Server 中与 CLIENT:MYSQLDUMP 相关的不明漏洞允许经身份验证的远程用户对机密性、完整性和可用性造成影响。(CVE-2014-6530) 请注意,Nessus 没有测试此问题,而仅依赖于应用程序自我报告的版本号。

解决方案

升级到 MariaDB 10.0.13 或更高版本。

另见

https://mariadb.com/kb/en/mariadb-10013-release-notes

插件详情

严重性: High

ID: 129359

文件名: mariadb_10_0_13.nasl

版本: 1.6

类型: remote

系列: Databases

发布时间: 2019/9/26

最近更新时间: 2022/5/19

配置: 启用偏执模式

支持的传感器: Frictionless Assessment Agent

风险信息

VPR

风险因素: High

分数: 8.3

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.6

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2014-0195

CVSS v3

风险因素: High

基本分数: 7.4

时间分数: 6.9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2014-0224

漏洞信息

CPE: cpe:/a:mariadb:mariadb

必需的 KB 项: Settings/ParanoidReport

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/8/11

漏洞发布日期: 2012/12/3

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2010-5298, CVE-2012-5615, CVE-2014-0195, CVE-2014-0198, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470, CVE-2014-4274, CVE-2014-4287, CVE-2014-6463, CVE-2014-6474, CVE-2014-6478, CVE-2014-6484, CVE-2014-6489, CVE-2014-6495, CVE-2014-6505, CVE-2014-6520, CVE-2014-6530, CVE-2014-6551, CVE-2014-6564, CVE-2015-0391

BID: 56766, 66801, 67193, 67898, 67899, 67900, 67901, 69732, 70448, 70455, 70462, 70486, 70489, 70496, 70510, 70511, 70516, 70517, 70525, 70532, 72205