检测

CentOS 7:mariadb (CESA-2016:0534)

high Nessus 插件 ID 90276

语言:

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

mariadb 的更新现在可用于 Red Hat Enterprise Linux 7。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。

MariaDB 是与 MySQL 兼容的多用户、多线程二进制 SQL 数据库服务器。

以下程序包已升级到更新的上游版本:
MariaDB (5.5.47)。有关完整的变更列表,请参阅“参考”部分中列出的 MariaDB 发行说明。

安全补丁:

* 已发现使用 TLS/SSL 创建安全连接时,MariaDB 客户端库未对于 X.509 证书中注明的服务器身份正确检查主机名。中间人攻击者可能利用此缺陷,冒充客户端的服务器。(CVE-2016-2047)

* 此更新修复了 MariaDB 数据库服务器中的多个漏洞。有关这些缺陷的信息,请参阅“参考”部分中列出的“Oracle 关键修补程序更新公告”页面。
(CVE-2015-4792、CVE-2015-4802、CVE-2015-4815、CVE-2015-4816、CVE-2015-4819、CVE-2015-4826、CVE-2015-4830、CVE-2015-4836、CVE-2015-4858、CVE-2015-4861、CVE-2015-4870、CVE-2015-4879、CVE-2015-4913、CVE-2016-0505、CVE-2016-0546、CVE-2016-0596、CVE-2016-0597、CVE-2016-0598、CVE-2016-0600、CVE-2016-0606、CVE-2016-0608、CVE-2016-0609、CVE-2016-0616)

缺陷补丁:

* 若启动 MariaDB 之后,立即在具有定义为主要密钥的 AUTO_INCREMENT 列的非空白 InnoDB 表中并发执行多个“插入”操作,会发生争用条件。因此,其中一个并发“插入”操作会失败,且会显示“重复密钥”错误消息。已应用一个修补程序,可防止争用条件。现在,插入为并发“插入”操作结果的每一行都会收到一个唯一的主要密钥,且操作不会再在此情况下失败。(BZ#1303946)

解决方案

更新受影响的 mariadb 程序包。

另见

http://www.nessus.org/u?26755b2c

插件详情

严重性: High

ID: 90276

文件名: centos_RHSA-2016-0534.nasl

版本: 2.17

类型: local

代理: unix

发布时间: 2016/4/1

最近更新时间: 2021/1/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.6

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2015-4819

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:centos:centos:mariadb, p-cpe:/a:centos:centos:mariadb-bench, p-cpe:/a:centos:centos:mariadb-devel, p-cpe:/a:centos:centos:mariadb-embedded, p-cpe:/a:centos:centos:mariadb-embedded-devel, p-cpe:/a:centos:centos:mariadb-libs, p-cpe:/a:centos:centos:mariadb-server, p-cpe:/a:centos:centos:mariadb-test, cpe:/o:centos:centos:7

必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/3/31

漏洞发布日期: 2015/10/21

参考资料信息

CVE: CVE-2015-4792, CVE-2015-4802, CVE-2015-4815, CVE-2015-4816, CVE-2015-4819, CVE-2015-4826, CVE-2015-4830, CVE-2015-4836, CVE-2015-4858, CVE-2015-4861, CVE-2015-4870, CVE-2015-4879, CVE-2015-4913, CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-0642, CVE-2016-0651, CVE-2016-2047, CVE-2016-3471

RHSA: 2016:0534