製品・ソフトウェアに関する情報

JVN脆弱性詳細

Percona XtraBackup における暗号強度に関する脆弱性

タイトル	Percona XtraBackup における暗号強度に関する脆弱性
概要	Percona XtraBackup には、暗号強度に関する脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年11月11日0:00
登録日	2017年4月26日16:52
最終更新日	2017年4月26日16:52

CVSS3.0 : 警告
スコア	5.9
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:P/I:N/A:N

影響を受けるシステム

Fedora Project

Fedora 24

Fedora 25

openSUSE project

openSUSE Leap 42.1

openSUSE Leap 42.2

Percona

Percona XtraBackup 2.3.6 未満

Percona XtraBackup 2.4.5 未満の 2.4.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-6225	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6225
National Vulnerability Database (NVD)
2	CVE-2016-6225	https://nvd.nist.gov/vuln/detail/CVE-2016-6225
Percona
3	CVE-2016-6225: Percona Xtrabackup Encryption IV Not Being Set Properly	https://www.percona.com/blog/2017/01/12/cve-2016-6225-percona-xtrabackup-encryption-iv-not-set-properly/

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-326	https://cwe.mitre.org/data/definitions/326.html

ベンダー情報

No	名前	URL
Fedora Update Notification
1	FEDORA-2017-6382ea8d57	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BAHI6ETS22FJCMLW7A6SICFKQXF5G2VI/#collapse0
2	FEDORA-2017-d5594bf58f	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/thread/7UDQSAEDF2WI5IC73HQIVSANOVZFOLYT/
GitHub
3	Fix CVE-2016-6225 in 2.4 #267	https://github.com/percona/percona-xtrabackup/pull/267
4	xtrabackup encryption is not setting the IV correctly #266	https://github.com/percona/percona-xtrabackup/pull/266
opensuse-updates
5	openSUSE-SU-2017:0250	https://lists.opensuse.org/opensuse-updates/2017-01/msg00125.html
6	openSUSE-SU-2017:0251	https://lists.opensuse.org/opensuse-updates/2017-01/msg00126.html

変更履歴

No	変更内容	変更日
0	[2017年04月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-6225

概要	xbcrypt in Percona XtraBackup before 2.3.6 and 2.4.x before 2.4.5 does not properly set the initialization vector (IV) for encryption, which makes it easier for context-dependent attackers to obtain sensitive information from encrypted backup files via a Chosen-Plaintext attack. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-6394.
公表日	2017年3月24日1:59
登録日	2021年1月26日14:15
最終更新日	2024年11月21日11:55

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:percona:xtrabackup::::::::		2.3.5
cpe:2.3:a:percona:xtrabackup:2.4.1:::::::*
cpe:2.3:a:percona:xtrabackup:2.4.0:rc1::::::
cpe:2.3:a:percona:xtrabackup:2.4.3:::::::*
cpe:2.3:a:percona:xtrabackup:2.4.2:::::::*
cpe:2.3:a:percona:xtrabackup:2.4.4:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:o:opensuse:leap:42.2:::::::*
cpe:2.3:o:opensuse:leap:42.1:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:25:::::::*
cpe:2.3:o:fedoraproject:fedora:24:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2017-01/msg00125.html	Third Party Advisory
2	http://lists.opensuse.org/opensuse-updates/2017-01/msg00125.html	Third Party Advisory
3	http://lists.opensuse.org/opensuse-updates/2017-01/msg00126.html	Third Party Advisory
4	http://lists.opensuse.org/opensuse-updates/2017-01/msg00126.html	Third Party Advisory
5	https://bugs.launchpad.net/percona-xtrabackup/+bug/1643949	Issue Tracking Patch Third Party Advisory
6	https://bugs.launchpad.net/percona-xtrabackup/+bug/1643949	Issue Tracking Patch Third Party Advisory
7	https://github.com/percona/percona-xtrabackup/pull/266	Issue Tracking Patch Third Party Advisory
8	https://github.com/percona/percona-xtrabackup/pull/266	Issue Tracking Patch Third Party Advisory
9	https://github.com/percona/percona-xtrabackup/pull/267	Issue Tracking Patch Third Party Advisory
10	https://github.com/percona/percona-xtrabackup/pull/267	Issue Tracking Patch Third Party Advisory
11	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BAHI6ETS22FJCMLW7A6SICFKQXF5G2VI/
12	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BAHI6ETS22FJCMLW7A6SICFKQXF5G2VI/
13	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZBVCP6KLFVGG6HSGLHLTMZRD6C4IJSZP/
14	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZBVCP6KLFVGG6HSGLHLTMZRD6C4IJSZP/
15	https://www.percona.com/blog/2017/01/12/cve-2016-6225-percona-xtrabackup-encryption-iv-not-set-properly/	Vendor Advisory
16	https://www.percona.com/blog/2017/01/12/cve-2016-6225-percona-xtrabackup-encryption-iv-not-set-properly/	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-326	不適切な暗号強度	https://cwe.mitre.org/data/definitions/326.html