远程主机上安装的 MySQL Server 版本受到 2024 年 4 月 CPU 公告中提及的多个漏洞影响。

  - Oracle MySQL 的 MySQL Server 产品中存在漏洞（组件：Packaging (OpenSSL)）。
    支持的版本中受影响的是 8.0.36 和较早版本以及 8.3.0 和较早版本。利用此漏洞的难度较大，未经身份验证的攻击者可以通过 TLS 进行网络访问，从而破坏 MySQL Server。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 MySQL Server 挂起或频繁出现崩溃（完整 DOS），以及未经授权更新、插入或删除某些 MySQL Server 可访问数据的访问权限。(CVE-2023-6129)

  - Oracle MySQL 的 MySQL Server 产品中存在漏洞（组件：Server: DML）。支持的版本中受影响的是 8.0.34 和较早版本以及 8.3.0 和较早版本。利用此漏洞的难度较低，通过多种协议进行网络访问的高权限攻击者可借此破坏 MySQL Server。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 MySQL Server 挂起或频繁出现崩溃（完整 DOS），以及未经授权更新、插入或删除某些 MySQL Server 可访问数据的访问权限。(CVE-2024-21015)

  - Oracle MySQL 的 MySQL Server 产品中的漏洞（组件：Server：Information Schema）。支持的版本中受影响的是 8.0.36 和较早版本以及 8.3.0 和较早版本。难以利用的漏洞允许低权限攻击者通过多种协议进行网络访问，从而破坏 MySQL Server。成功攻击此漏洞可导致在未经授权的情况下造成 MySQL Server 挂起或频繁出现崩溃（完全 DOS）。(CVE-2024-20994)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Oracle MySQL Server 8.x < 8.4.0（2024 年 4 月 CPU）

medium Nessus 插件 ID 193567

版本 1.1

版本 1.0

版本 1.1 Apr 22, 2024, 1:40 PM CVSS metrics ("CVSSv2 score" set to 6.8) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:M/C:N/I:P/A:C") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:U/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") CVSSv2 score source (changed from "CVE-2023-6129" to "CVE-2024-21015") CVSSv3 score source (set to "CVE-2023-6129") Exploit attributes ("Exploit available" set to "False") Exploit attributes ("Exploitability ease" set to "No known exploits are available") Plugin Feed: 202404221340
版本 1.0 Apr 19, 2024, 11:43 AM New Plugin Feed: 202404191143