Oracle MySQL Server até 5.7.21 Optimizer Negação de Serviço

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.8	$0-$5k	0.00

Sumárioinformação

Detectou-se uma vulnerabilidade classificada como problemático em Oracle MySQL Server até 5.7.21. Afectado é uma função desconhecida do componente Optimizer. A utilização pode causar Negação de Serviço. A vulnerabilidade é identificada como CVE-2018-2779. Existe a possibilidade de executar o ataque de forma remota. Não há nenhuma exploração disponível. Recomenda-se atualizar o componente afetado.

Detalhesinformação

Detectou-se uma vulnerabilidade classificada como problemático em Oracle MySQL Server até 5.7.21. Afectado é uma função desconhecida do componente Optimizer. A utilização pode causar Negação de Serviço. Ao utilizar CWE para declarar o problema, isso direciona para CWE-404. O problema foi detectado em 17/04/2018. A falha foi publicada 17/04/2018 como Oracle Critical Patch Update Advisory - April 2018 como Aconselhamento (Site). O aconselhamento é partilhado para download em oracle.com.

A vulnerabilidade é identificada como CVE-2018-2779. A atribuição do CVE aconteceu em 15/12/2017. Existe a possibilidade de executar o ataque de forma remota. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projecto MITRE ATT&CK utiliza a técnica de ataque T1499 para esta edição.

Foi declarado como não definido. Como 0-day, o preço estimado no mercado clandestino era em torno de $5k-$25k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 111299 (Photon OS 2.0 : mysql (PhotonOS-PHSA-2018-2.0-0040) (deprecated)), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família PhotonOS Local Security Checks. O plugin está a funcionar no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 197114 (Ubuntu Security Notification for Mysql-5.5, Mysql-5.7 Vulnerabilities (USN-3629-1)).

Recomenda-se atualizar o componente afetado.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 103787) e Tenable (111299).

Produtoinformação

Tipo

• Database Software

Fabricante

• Oracle

Nome

• MySQL Server

Versão

• 5.7.0
• 5.7.1
• 5.7.2
• 5.7.3
• 5.7.4
• 5.7.5
• 5.7.6
• 5.7.7
• 5.7.8
• 5.7.9
• 5.7.10
• 5.7.11
• 5.7.12
• 5.7.13
• 5.7.14
• 5.7.15
• 5.7.16
• 5.7.17
• 5.7.18
• 5.7.19
• 5.7.20
• 5.7.21

Licença

• código aberto

Site

• Fabricante: https://www.oracle.com

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 4.9
VulDB Meta Pontuação Temporária: 4.8

VulDB Pontuação Base: 4.9
VulDB Pontuação Temporária: 4.7
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

Fabricante Pontuação Base (Oracle): 4.9
Fabricante Vector (Oracle): 🔍

NVD Pontuação Base: 4.9
NVD Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Negação de Serviço
CWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 111299
Nessus Nome: Photon OS 2.0 : mysql (PhotonOS-PHSA-2018-2.0-0040) (deprecated)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍

OpenVAS ID: 54441
OpenVAS Nome: Fedora Update for community-mysql FEDORA-2018-8b920c2b00
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Linha do tempoinformação

15/12/2017 🔍
17/04/2018 +123 dias 🔍
17/04/2018 +0 dias 🔍
17/04/2018 +0 dias 🔍
17/04/2018 +0 dias 🔍
18/04/2018 +0 dias 🔍
20/04/2018 +2 dias 🔍
24/07/2018 +95 dias 🔍
02/03/2023 +1682 dias 🔍

Fontesinformação

Fabricante: oracle.com

Aconselhamento: Oracle Critical Patch Update Advisory - April 2018
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2018-2779 (🔍)
GCVE (CVE): GCVE-0-2018-2779
GCVE (VulDB): GCVE-100-116754

OVAL: 🔍

SecurityFocus: 103787 - Oracle MySQL Server CVE-2018-2779 Remote Security Vulnerability
SecurityTracker: 1040698

Veja também: 🔍

Entradainformação

Criado: 20/04/2018 08h53
Atualizado: 02/03/2023 14h25
Ajustamentos: 20/04/2018 08h53 (85), 28/01/2020 15h28 (5), 02/03/2023 14h25 (5)
Completo: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Discussão

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!