openSUSE 安全更新:mariadb (openSUSE-2016-780)
medium Nessus 插件 ID 91871
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
mariadb 已更新到版本 10.0.25,修复了 25 个安全问题。修复了这些安全问题:
- CVE-2016-0505:不明漏洞允许经认证的远程用户通过与 Options 相关的未知矢量,影响可用性 (bsc#980904)。
- CVE-2016-0546:不明漏洞允许本地用户通过与 Client 相关的未知矢量,影响机密性、完整性和可用性 (bsc#980904)。
- CVE-2016-0596:不明漏洞允许经认证的远程用户通过与 DML 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0597:不明漏洞允许经认证的远程用户通过与 Optimizer 相关的未知矢量,影响可用性 (bsc#980904)。
- CVE-2016-0598:不明漏洞允许经认证的远程用户通过与 DML 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0600:不明漏洞允许经认证的远程用户通过与 InnoDB 相关的未知矢量,影响可用性 (bsc#980904)。
- CVE-2016-0606:不明漏洞允许经认证的远程用户通过与加密相关的未知矢量,影响完整性 (bsc#980904)。
- CVE-2016-0608:不明漏洞允许经认证的远程用户通过与 UDF 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0609:不明漏洞允许经认证的远程用户通过与权限相关的未知矢量,影响可用性 (bsc#980904)。
- CVE-2016-0616:不明漏洞允许经认证的远程用户通过与 Optimizer 相关的未知矢量,影响可用性 (bsc#980904)。
- CVE-2016-0640:不明漏洞允许本地用户通过与 DML 相关的矢量,影响完整性和可用性 (bsc#980904)。
- CVE-2016-0641:不明漏洞允许本地用户通过与 MyISAM 相关的矢量,影响机密性和可用性 (bsc#980904)。
- CVE-2016-0642:不明漏洞允许本地用户通过与 Federated 相关的矢量,影响完整性和可用性 (bsc#980904)。
- CVE-2016-0643:不明漏洞允许本地用户通过与 DML 相关的矢量,影响机密性 (bsc#980904)。
- CVE-2016-0644:不明漏洞允许本地用户通过与 DDL 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0646:不明漏洞允许本地用户通过与 DML 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0647:不明漏洞允许本地用户通过与 FTS 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0648:不明漏洞允许本地用户通过与 PS 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0649:不明漏洞允许本地用户通过与 PS 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0650:不明漏洞允许本地用户通过与 Replication 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0651:不明漏洞允许本地用户通过与 Optimizer 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0655:不明漏洞允许本地用户通过与 InnoDB 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0666:不明漏洞允许本地用户通过与 Security: Privileges 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-0668:不明漏洞允许本地用户通过与 InnoDB 相关的矢量,影响可用性 (bsc#980904)。
- CVE-2016-2047:sql-common/client.c 中的 ssl_verify_server_cert 函数未正确验证服务器主机名是否与 X.509 证书的使用者公用名 (CN) 或 subjectAltName 字段中的域名相符,这允许中间人攻击者通过证书的字段中的“/CN=”字符串欺骗 SSL 服务器,这一点已由“/OU=/CN=bar.com/CN=foo.com”证实 (bsc#963806)。
已修复下列非安全性问题:
- bsc#961935:删除“-DWITH_COMMENT”和“DCOMPILATION_COMMENT”选项中“openSUSE”字符串的残留
- bsc#970287:删除 ha_tokudb.so 插件以及 tokuft_logprint 和 tokuftdump 二进制文件,因为 TokuDB 存储引擎需要未出现在 SLE-12-SP1 中的 jemalloc 库
- bsc#970295:修正复 logrotate 错误消息中“logrotate.d/mysql”字符串的残留。出现的此字符串已变更为“logrotate.d/mariadb”
- bsc#963810:添加“log-error”和“secure-file-priv”配置选项
- 添加“/etc/my.cnf.d/error_log.conf”,其指定“log-error = /var/log/mysql/mysqld.log”。如果未设置路径,系统会将错误日志写入并非由 logrotate 选取的“/var/lib/mysql/$HOSTNAME.err”。
- 添加“/etc/my.cnf.d/secure_file_priv.conf”,其指定“LOAD DATA”、“SELECT ...INTO”和“LOAD FILE()”仅处理“secure-file-priv”选项指定的目录 (=“/var/lib/mysql-files”) 中的文件。
解决方案
更新受影响的 mariadb 程序包。另见
https://bugzilla.opensuse.org/show_bug.cgi?id=961935
https://bugzilla.opensuse.org/show_bug.cgi?id=963806
https://bugzilla.opensuse.org/show_bug.cgi?id=963810
https://bugzilla.opensuse.org/show_bug.cgi?id=970287
插件详情
严重性: Medium
ID: 91871
文件名: openSUSE-2016-780.nasl
版本: 2.4
类型: local
代理: unix
发布时间: 2016/6/28
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.6
CVSS v2
风险因素: High
基本分数: 7.2
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: Medium
基本分数: 6.1
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
漏洞信息
CPE: p-cpe:/a:novell:opensuse:mariadb-test-debuginfo, p-cpe:/a:novell:opensuse:mariadb-tools, p-cpe:/a:novell:opensuse:mariadb-tools-debuginfo, cpe:/o:novell:opensuse:42.1, p-cpe:/a:novell:opensuse:libmysqlclient-devel, p-cpe:/a:novell:opensuse:libmysqlclient18, p-cpe:/a:novell:opensuse:libmysqlclient18-32bit, p-cpe:/a:novell:opensuse:libmysqlclient18-debuginfo, p-cpe:/a:novell:opensuse:libmysqlclient18-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmysqlclient_r18, p-cpe:/a:novell:opensuse:libmysqlclient_r18-32bit, p-cpe:/a:novell:opensuse:libmysqld-devel, p-cpe:/a:novell:opensuse:libmysqld18, p-cpe:/a:novell:opensuse:libmysqld18-debuginfo, p-cpe:/a:novell:opensuse:mariadb, p-cpe:/a:novell:opensuse:mariadb-bench, p-cpe:/a:novell:opensuse:mariadb-bench-debuginfo, p-cpe:/a:novell:opensuse:mariadb-client, p-cpe:/a:novell:opensuse:mariadb-client-debuginfo, p-cpe:/a:novell:opensuse:mariadb-debuginfo, p-cpe:/a:novell:opensuse:mariadb-debugsource, p-cpe:/a:novell:opensuse:mariadb-errormessages, p-cpe:/a:novell:opensuse:mariadb-test
必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
补丁发布日期: 2016/6/27
参考资料信息
CVE: CVE-2016-0505, CVE-2016-0546, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0600, CVE-2016-0606, CVE-2016-0608, CVE-2016-0609, CVE-2016-0616, CVE-2016-0640, CVE-2016-0641, CVE-2016-0642, CVE-2016-0643, CVE-2016-0644, CVE-2016-0646, CVE-2016-0647, CVE-2016-0648, CVE-2016-0649, CVE-2016-0650, CVE-2016-0651, CVE-2016-0655, CVE-2016-0666, CVE-2016-0668, CVE-2016-2047