RHEL 7:mariadb (RHSA-2016:0534)
high Nessus 插件 ID 90300
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
mariadb 的更新现在可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。
MariaDB 是与 MySQL 兼容的多用户、多线程二进制 SQL 数据库服务器。
以下程序包已升级到更新的上游版本:
MariaDB (5.5.47)。有关完整的变更列表,请参阅“参考”部分中列出的 MariaDB 发行说明。
安全补丁:
* 已发现使用 TLS/SSL 创建安全连接时,MariaDB 客户端库未对于 X.509 证书中注明的服务器身份正确检查主机名。中间人攻击者可能利用此缺陷,冒充客户端的服务器。(CVE-2016-2047)
* 此更新修复了 MariaDB 数据库服务器中的多个漏洞。有关这些缺陷的信息,请参阅“参考”部分中列出的“Oracle 关键修补程序更新公告”页面。
(CVE-2015-4792、CVE-2015-4802、CVE-2015-4815、CVE-2015-4816、CVE-2015-4819、CVE-2015-4826、CVE-2015-4830、CVE-2015-4836、CVE-2015-4858、CVE-2015-4861、CVE-2015-4870、CVE-2015-4879、CVE-2015-4913、CVE-2016-0505、CVE-2016-0546、CVE-2016-0596、CVE-2016-0597、CVE-2016-0598、CVE-2016-0600、CVE-2016-0606、CVE-2016-0608、CVE-2016-0609、CVE-2016-0616)
缺陷补丁:
* 若启动 MariaDB 之后,立即在具有定义为主要密钥的 AUTO_INCREMENT 列的非空白 InnoDB 表中并发执行多个“插入”操作,会发生争用条件。因此,其中一个并发“插入”操作会失败,且会显示“重复密钥”错误消息。已应用一个修补程序,可防止争用条件。现在,插入为并发“插入”操作结果的每一行都会收到一个唯一的主要密钥,且操作不会再在此情况下失败。(BZ#1303946)
解决方案
更新受影响的程序包。另见
https://access.redhat.com/errata/RHSA-2016:0534
https://access.redhat.com/security/cve/cve-2015-4792
https://access.redhat.com/security/cve/cve-2015-4802
https://access.redhat.com/security/cve/cve-2015-4815
https://access.redhat.com/security/cve/cve-2015-4816
https://access.redhat.com/security/cve/cve-2015-4819
https://access.redhat.com/security/cve/cve-2015-4826
https://access.redhat.com/security/cve/cve-2015-4830
https://access.redhat.com/security/cve/cve-2015-4836
https://access.redhat.com/security/cve/cve-2015-4858
https://access.redhat.com/security/cve/cve-2015-4861
https://access.redhat.com/security/cve/cve-2015-4870
https://access.redhat.com/security/cve/cve-2015-4879
https://access.redhat.com/security/cve/cve-2015-4913
https://access.redhat.com/security/cve/cve-2016-0505
https://access.redhat.com/security/cve/cve-2016-0546
https://access.redhat.com/security/cve/cve-2016-0596
https://access.redhat.com/security/cve/cve-2016-0597
https://access.redhat.com/security/cve/cve-2016-0598
https://access.redhat.com/security/cve/cve-2016-0600
https://access.redhat.com/security/cve/cve-2016-0606
https://access.redhat.com/security/cve/cve-2016-0608
https://access.redhat.com/security/cve/cve-2016-0609
https://access.redhat.com/security/cve/cve-2016-0616
https://access.redhat.com/security/cve/cve-2016-0642
https://access.redhat.com/security/cve/cve-2016-0651
插件详情
严重性: High
ID: 90300
文件名: redhat-RHSA-2016-0534.nasl
版本: 2.19
类型: local
代理: unix
发布时间: 2016/4/1
最近更新时间: 2019/10/24
支持的传感器: Frictionless Assessment Azure, Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 5.6
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
时间矢量: CVSS2#E:POC/RL:OF/RC:C
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:mariadb, p-cpe:/a:redhat:enterprise_linux:mariadb-bench, p-cpe:/a:redhat:enterprise_linux:mariadb-debuginfo, p-cpe:/a:redhat:enterprise_linux:mariadb-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded, p-cpe:/a:redhat:enterprise_linux:mariadb-embedded-devel, p-cpe:/a:redhat:enterprise_linux:mariadb-libs, p-cpe:/a:redhat:enterprise_linux:mariadb-server, p-cpe:/a:redhat:enterprise_linux:mariadb-test, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/rpm-list, Host/cpu, Host/RedHat/release
可利用: true
易利用性: Exploits are available
补丁发布日期: 2016/3/31
漏洞发布日期: 2015/10/21
参考资料信息
CVE: CVE-2015-4792, CVE-2015-4802, CVE-2015-4815, CVE-2015-4816, CVE-2015-4819, CVE-2015-4826, CVE-2015-4830, CVE-2015-4836, CVE-2015-4858, CVE-2015-4861, CVE-2015-4870, CVE-2015-4879, CVE-2015-4913, CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-0642, CVE-2016-0651, CVE-2016-2047, CVE-2016-3471
RHSA: 2016:0534