1. 修复的CVE
·CVE-2015-0411
描述���:Oracle MySQL Server是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高���、成本低���、可靠性好等特点。Oracle MySQL Server 的Server ���: Security ���: Encryption组件存在安全漏洞。远程攻击者可利用该漏洞读取���、更新���、插入或删除数据���,也可能造成拒绝服务。影响数据的保密性���、完整性及可用性。
·CVE-2015-4819
描述���:Oracle MySQL Server是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高���、成本低���、可靠性好等特点。Oracle MySQL Server 的Client programs子组件中存在安全漏洞。本地攻击者可利用该漏洞控制组件���,执行任意代码���,影响数据的保密性���,完整性及可用性。
·CVE-2016-0546
描述���:Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高���、成本低���、可靠性好等特点。Oracle MySQL 的Client组件存在安全漏洞。本地攻击者可利用该漏洞执行任意代码���,影响数据的保密性���、完整性及可用性。
·CVE-2016-3471
描述���:Oracle MySQL5.5.45及更早版本以及5.6.26及更早版本中的未指明漏洞允许本地用户通过与Server:Option相关的向量来影响机密性���、完整性和可用性。
·CVE-2016-3477
描述���:Oracle MySQL 5.5.49及更早版本���、5.6.30及更早版本���、5.7.12及更早版本���、MariaDB 5.5.50之前版本���、10.0.26版本之前的10.0.x版本和10.1.15版本之前的10.1.x版本中存在未指明的漏洞���,本地用户可通过与Server:Parser相关的向量影响机密性���、完整性和可用性。
·CVE-2016-6662
描述���:我们发现MySQL日志记录功能允许写入MySQL配置文件。管理数据库用户或具有文件权限的数据库用户可能利用此漏洞在运行数据库服务器的系统上以根权限运行任意命令。
·CVE-2016-6663
描述���:在MySQL执行MyISAM引擎表修复的过程中发现了竞争条件。对运行mysqld的服务器具有shell访问权限的数据库用户可以利用此漏洞更改mysql系统用户可写入的任意文件的权限。
·CVE-2017-3302
描述���:在服务器连接丢失时���,MySQL客户端库(libmysqlclient)处理准备好的语句的方式中发现了一个缺陷。恶意服务器或中间人攻击者可能利用此漏洞使使用libmysqlclient的应用程序崩溃。
·CVE-2018-2755
描述���:Oracle MySQL的MySQL Server组件(子组件���:服务器���:复制)中存在漏洞。受影响的受支持版本为5.5.59及更早版本���、5.6.39及更高版本以及5.7.21及更高版本。难以利用的漏洞允许未经身份验证的攻击者登录到MySQL Server执行的基础设施���,从而危害MySQL Server。成功的攻击需要来自攻击者以外的人的交互���,虽然该漏洞存在于MySQL服务器中���,但攻击可能会显著影响其他产品。成功攻击此漏洞可导致接管MySQL服务器。CVSS 3.0基本得分7.7(机密性���、完整性和可用性影响)。CVSS Vector���:(CVSS:3.0/AV���:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)。
2. 受影响的软件包
·银河麒麟高级服务器操作系统 V10
mips64el架构:
mariadb���、mariadb-libs���、mariadb-server
3. 软件包修复版本
·银河麒麟高级服务器操作系统 V10
mariadb-5.5.60-1.ns7_4.1
mariadb-libs-5.5.60-1.ns7_4.1
mariadb-server-5.5.60-1.ns7_4.1
4. 修复方法
方法一���:配置源进行升级安装
1. 打开软件包源配置文件���,根据仓库地址进行修改。
仓库源地址���:
银河麒麟高级服务器操作系统 V10
mips64el:http://download.cs2c.com.cn/neokylin/server/releases/v10/ls_64/
2. 配置完成后执行更新命令进行升级���,命令如下���:
yum update Packagename
方法二���:下载安装包进行升级安装
通过软件包地址下载软件包���,使用软件包升级命令根据受影响的软件包列表进行升级安装,命令如下���:
yum install Packagename
3. 升级完成后是否需要重启服务或操作系统���:
·CVE-2015-0411���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2015-4819���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-0546���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-3471���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-3477���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-6662���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-6663���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2017-3302���:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2018-2755���:无需重启操作系统与服务即可使漏洞修复生效。
5. 软件包下载地址
·银河麒麟高级服务器操作系统 V10
mariadb(mips64el)软件包下载地址:
http://download.cs2c.com.cn/neokylin/server/releases/v10/ls_64/Packages/mariadb-5.5.60-1.ns7_4.1.mips64el.rpm
http://download.cs2c.com.cn/neokylin/server/releases/v10/ls_64/Packages/mariadb-libs-5.5.60-1.ns7_4.1.mips64el.rpm
http://download.cs2c.com.cn/neokylin/server/releases/v10/ls_64/Packages/mariadb-server-5.5.60-1.ns7_4.1.mips64el.rpm
注���:其他相关依赖包请到相同目录下载
6. 修复验证
使用软件包查询命令���,查看相关软件包版本是否与修复版本一致���,如果版本一致���,则说明修复成功。
sudo rpm -qa | grep Packagename
