MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2022)

2022.04.20

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

04月19日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性(CVE-2022-23305 CVE-2022-22965 CVE-2022-0778 CVE-2021-42340 CVE-2021-22570 CVE-2022-23181 CVE-2021-44832 CVE-2022-21454 CVE-2022-21482 CVE-2022-21483 CVE-2022-21489 CVE-2022-21490 CVE-2021-41184 CVE-2022-21457 CVE-2022-21425 CVE-2022-21440 CVE-2022-21459 CVE-2022-21478 CVE-2022-21479 CVE-2022-21418 CVE-2022-21417 CVE-2022-21413 CVE-2022-21427 CVE-2022-21412 CVE-2022-21414 CVE-2022-21435 CVE-2022-21436 CVE-2022-21437 CVE-2022-21438 CVE-2022-21452 CVE-2022-21462 CVE-2022-21415 CVE-2022-21451 CVE-2022-21444 CVE-2022-21460 CVE-2022-21484 CVE-2022-21485 CVE-2022-21486 CVE-2022-21423)についてまとめてみます。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2022-23305
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Monitoring: General (Apache Log4j)
    • CVSS 3.0 Base Score 9.8
    • CVSS Vector: 元情報参照

    • Apache Log4jの脆弱性になります。
  • CVE-2022-22965
  • CVE-2022-0778
  • CVE-2021-42340
  • CVE-2021-22570
  • CVE-2022-23181
  • CVE-2021-44832
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Monitoring: General (Apache Log4j)
    • CVSS 3.0 Base Score 6.6
    • CVSS Vector: 元情報参照

    • Apache Log4jの脆弱性になります。
  • CVE-2022-21454
    • 影響するバージョン:5.7.37 and prior, 8.0.28 and prior
    • サブコンポーネント: Server: Group Replication Plugin
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21482
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っていて物理的にハードウェアにアクセスできる攻撃者がMySQLクラスタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクラスタを切り替えることが出来る可能性があります。
  • CVE-2022-21483
    • 影響するバージョン:7.4.35 and prior, 7.5.25 and prior, 7.6.21 and prior, 8.0.28 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っていて物理的にハードウェアにアクセスできる攻撃者がMySQLクラスタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクラスタを切り替えることが出来る可能性があります。
  • CVE-2022-21489
    • 影響するバージョン:7.4.35 and prior, 7.5.25 and prior, 7.6.21 and prior, 8.0.28 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っていて物理的にハードウェアにアクセスできる攻撃者がMySQLクラスタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクラスタを切り替えることが出来る可能性があります。
  • CVE-2022-21490
    • 影響するバージョン:7.4.35 and prior, 7.5.25 and prior, 7.6.21 and prior, 8.0.28 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っていて物理的にハードウェアにアクセスできる攻撃者がMySQLクラスタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクラスタを切り替えることが出来る可能性があります。
  • CVE-2021-41184
  • CVE-2022-21457
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: PAM Auth Plugin
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、非認証の攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、認証されていないデータにアクセスされる可能性があります。
  • CVE-2022-21425
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、認証されていない更新や挿入・削除のアクセスを行われる等の可能性があります。
  • CVE-2022-21440
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、認証されていない更新や挿入・削除のアクセスを行われる等の可能性があります。
  • CVE-2022-21459
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、認証されていない更新や挿入・削除のアクセスを行われる等の可能性があります。
  • CVE-2022-21478
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、認証されていない更新や挿入・削除のアクセスを行われる等の可能性があります。
  • CVE-2022-21479
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、認証されていない読み込みアクセスを行われる等の可能性があります。
  • CVE-2022-21418
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.0
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、認証されていない更新や挿入・削除のアクセスを行われる等の可能性があります。
  • CVE-2022-21417
    • 影響するバージョン:5.7.37 and prior, 8.0.28 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21413
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21427
    • 影響するバージョン:5.7.37 and prior, 8.0.28 and prior
    • サブコンポーネント: Server: FTS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21412
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21414
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21435
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21436
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21437
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21438
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21452
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21462
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21415
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21451
    • 影響するバージョン:5.7.37 and prior, 8.0.28 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21444
    • 影響するバージョン:5.7.37 and prior, 8.0.28 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす等の可能性があります。
  • CVE-2022-21460
    • 影響するバージョン:5.7.37 and prior, 8.0.28 and prior
    • サブコンポーネント: Server: Logging
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、非認証でMySQLサーバの重要なデータにアクセスできる可能性があります。
  • CVE-2022-21484
    • 影響するバージョン:7.4.35 and prior, 7.5.25 and prior, 7.6.21 and prior, 8.0.28 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 2.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っていて物理的にハードウェアにアクセスできる攻撃者がMySQLクラスタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクラスタに対しpartial DoSを引き起こすことが出来る可能性があります。
  • CVE-2022-21485
    • 影響するバージョン:7.4.35 and prior, 7.5.25 and prior, 7.6.21 and prior, 8.0.28 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 2.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っていて物理的にハードウェアにアクセスできる攻撃者がMySQLクラスタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクラスタに対しpartial DoSを引き起こすことが出来る可能性があります。
  • CVE-2022-21486
    • 影響するバージョン:7.4.35 and prior, 7.5.25 and prior, 7.6.21 and prior, 8.0.28 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 2.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持っていて物理的にハードウェアにアクセスできる攻撃者がMySQLクラスタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクラスタに対しpartial DoSを引き起こすことが出来る可能性があります。
  • CVE-2022-21423
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持っている攻撃者が複数のプロトコルにネットワークを用いてアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(partial DoS)を引き起こす等の可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。



タイトルとURLをコピーしました