MariaDB 10.0.0 < 10.0.13 多个漏洞
high Nessus 插件 ID 129359
语言:
简介
远程数据库服务器受到多个漏洞的影响描述
远程主机上安装的 MariaDB 版本低于 10.0.13。因此,如公告 mariadb-10013-release-notes 所述,受到多个漏洞影响,包括如下:- OpenSSL 中存在的缺陷,未能正确限制 ChangeCipherSpec 消息的处理。中间人攻击者可利用此缺陷,通过构建的 TLS 握手强制某些 OpenSSL 到 OpenSSL 通信中使用零长度主密钥,从而导致会话被劫持,敏感信息被泄露。(CVE-2014-0224) - OpenSSL 中存在关于无效 DTLS 碎片处理的缓冲区溢出错误,可导致执行任意代码或拒绝服务。其原因在于未正确验证 DTLS ClientHello 消息中的碎片长度。(CVE-2014-0195) - MariaDB Server 中与 CLIENT:MYSQLDUMP 相关的不明漏洞允许经身份验证的远程用户对机密性、完整性和可用性造成影响。(CVE-2014-6530) 请注意,Nessus 没有测试此问题,而仅依赖于应用程序自我报告的版本号。解决方案
升级到 MariaDB 10.0.13 或更高版本。另见
插件详情
严重性: High
ID: 129359
文件名: mariadb_10_0_13.nasl
版本: 1.6
类型: remote
系列: Databases
发布时间: 2019/9/26
最近更新时间: 2022/5/19
配置: 启用偏执模式
支持的传感器: Frictionless Assessment Agent
风险信息
VPR
风险因素: High
分数: 8.3
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.6
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2014-0195
CVSS v3
风险因素: High
基本分数: 7.4
时间分数: 6.9
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS 分数来源: CVE-2014-0224
漏洞信息
CPE: cpe:/a:mariadb:mariadb
必需的 KB 项: Settings/ParanoidReport
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/8/11
漏洞发布日期: 2012/12/3
可利用的方式
Core Impact
参考资料信息
CVE: CVE-2010-5298, CVE-2012-5615, CVE-2014-0195, CVE-2014-0198, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470, CVE-2014-4274, CVE-2014-4287, CVE-2014-6463, CVE-2014-6474, CVE-2014-6478, CVE-2014-6484, CVE-2014-6489, CVE-2014-6495, CVE-2014-6505, CVE-2014-6520, CVE-2014-6530, CVE-2014-6551, CVE-2014-6564, CVE-2015-0391
BID: 56766, 66801, 67193, 67898, 67899, 67900, 67901, 69732, 70448, 70455, 70462, 70486, 70489, 70496, 70510, 70511, 70516, 70517, 70525, 70532, 72205