MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2021)

2021.01.25

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月19日に四半期恒例のOracle Critical Patch Updateが公開されました。遅くなりましたが、今回はこの中のMySQLの脆弱性(CVE-2020-13871, CVE-2019-10086, CVE-2021-2046, CVE-2020-5421, CVE-2020-5408, CVE-2021-2020, CVE-2021-2024, CVE-2021-2011, CVE-2020-1971, CVE-2021-2006, CVE-2021-2048, CVE-2021-2028, CVE-2021-2122, CVE-2021-2058, CVE-2021-2001, CVE-2021-2016, CVE-2021-2021, CVE-2021-2030, CVE-2021-2031, CVE-2021-2036, CVE-2021-2055, CVE-2021-2060, CVE-2021-2070, CVE-2021-2076, CVE-2021-2065, CVE-2021-2014, CVE-2021-2002, CVE-2021-2012, CVE-2021-2009, CVE-2021-2072, CVE-2021-2081, CVE-2021-2022, CVE-2021-2038, CVE-2021-2061, CVE-2021-2056, CVE-2021-2087, CVE-2021-2088, CVE-2021-2032, CVE-2021-2010, CVE-2021-1998, CVE-2021-2007, CVE-2021-2019, CVE-2021-2042 )についてまとめてみます。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2020-13871
  • CVE-2019-10086
  • CVE-2021-2046
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 6.8
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2020-5421
  • CVE-2020-5408
  • CVE-2021-2020
    • 影響するバージョン:8.0.20 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2024
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2011
    • 影響するバージョン:5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: C API
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLクライアントを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLクライアントをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2020-1971
  • CVE-2021-2006
    • 影響するバージョン:8.0.19 and prior
    • サブコンポーネント: C API
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、低い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLクライアントを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLクライアントをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2048
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.0
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、低い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こしたり、MySQLサーバがアクセスできるデータにinsert/deleteを実行される可能性があります。
  • CVE-2021-2028
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2122
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2058
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Locking
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2001
    • 影響するバージョン:5.6.50 and prior, 5.7.30 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2016
    • 影響するバージョン:8.0.19 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2021
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2030
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2031
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2036
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2055
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2060
    • 影響するバージョン:5.6.50 and prior, 5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2070
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2076
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2065
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2014
    • 影響するバージョン:5.7.32 and prior
    • サブコンポーネント: Server: PAM Auth Plugin
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2002
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2012
    • 影響するバージョン:8.0.20 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2009
    • 影響するバージョン:8.0.19 and prior
    • サブコンポーネント: Server: Security: Roles
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2072
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2081
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2022
    • 影響するバージョン:5.6.50 and prior, 5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2038
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Components Services
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2061
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2056
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2087
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2088
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2032
    • 影響するバージョン:5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: Information Schema
    • CVSS 3.0 Base Score 4.3
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、低い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2010
    • 影響するバージョン:5.6.50 and prior, 5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: C API
    • CVSS 3.0 Base Score 4.2
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、低い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLクライアントを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLクライアントがアクセスできる範囲のデータに対してupdate/insert/deleteのアクセスを起こしたり、クラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-1998
    • 影響するバージョン:8.0.20 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 3.8
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバがアクセスできる範囲のデータに対してupdate/insert/deleteのアクセスを起こしたり、クラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2007
    • 影響するバージョン:5.6.47 and prior, 5.7.29 and prior, 8.0.19 and prior
    • サブコンポーネント: C API
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLクライアントを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLクライアントがアクセスできる範囲のデータに対してreadのアクセスをされる可能性があります。
  • CVE-2021-2019
    • 影響するバージョン:8.0.19 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバがアクセスできる範囲のデータに対してreadのアクセスをされる可能性があります。
  • CVE-2021-2042
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 2.3
    • CVSS Vector: 元情報参照
    • 悪用が簡単な脆弱性により、高い権限を持つ攻撃者がMySQLサーバが実行されているインフラ環境にログオンすると、MySQLサーバを侵害出来る可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバがアクセスできる範囲のデータに対してreadのアクセスをされる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

セキュリティ系連載案内

タイトルとURLをコピーしました