MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2018)

2018.01.18

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月17日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性についてまとめてみます。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2017-12617

    • 重要度 – Important

    • 影響するバージョン:MySQL Enterprise Monitor 3.3.6.3293 and prior, 3.4.4.4226 and prior, 4.0.0.5135 and prior

    • サブコンポーネント: Monitoring: General (Apache Tomcat)

    • Apache Tomcatに含まれる脆弱性の対応

  • CVE-2018-2585

    • MySQL Connectorの脆弱性(DoS)

    • 影響するバージョン:6.9.9 and prior, 6.10.4 and prior

    • サブコンポーネント: Connector/Net

    • CVSS 3.0 Base Score 7.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLコネクタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLコネクタをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2696

    • 重要度 – Important

    • 影響するバージョン:5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server : Security : Privileges

    • CVSS 3.0 Base Score 7.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

    • 長いパスワードを用いたsha256_password認証へのDoS

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2562

    • 影響するバージョン:5.5.58 and prior, 5.6.38 and prior, 5.7.19 and prior

    • サブコンポーネント: Server : Partition

    • CVSS 3.0 Base Score 7.1

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2583

    • 重要度 – Moderate

    • 影響するバージョン:5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Stored Procedure

    • CVSS 3.0 Base Score 6.8

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)

    • ストアドプロシージャの脆弱性

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2612

    • 重要度 – Moderate

    • 影響するバージョン:5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)

    • InnoDBの脆弱性

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバがアクセスできる全てのデータやクリティカルなデータに不正な作成・変更・削除のアクセスが出来たり、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2703

    • 重要度 – Moderate

    • 影響するバージョン:5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server : Security : Privileges

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • sha256_password認証での大きなラウンド値を伴うハッシュを通したDoS

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2622

    • 影響するバージョン:5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: DDL

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • DDLの脆弱性

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2573

    • 重要度 – Moderate

    • 影響するバージョン:5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: GIS

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • GISの脆弱性

    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2640

    • 重要度 – Moderate

    • 影響するバージョン:5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの脆弱性

    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2665

    • 重要度 – Moderate

    • 影響するバージョン:5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの脆弱性

    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2668

    • 重要度 – Moderate

    • 影響するバージョン:5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの脆弱性

    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2017-3736

    • 重要度 – Moderate

    • 影響するバージョン:5.3.9 and prior

    • – サブコンポーネント: Connector/ODBC (OpenSSL)

    • 影響するバージョン:3.3.6.3293 and prior, 3.4.4.4226 and prior, 4.0.0.5135 and prior

    • – サブコンポーネント: Monitoring: General (OpenSSL)

    • OpenSSLに含まれる脆弱性の対応

  • CVE-2017-3737

  • CVE-2018-2647

    • 重要度 – Moderate

    • 影響するバージョン:5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: Replication

    • CVSS 3.0 Base Score 5.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)

    • Replicationの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる等、またMySQLがアクセスできるデータに不正に更新・挿入・削除を行われる可能性があります。

  • CVE-2018-2591

    • 重要度 – Moderate

    • 影響するバージョン:5.6.38 and prior, 5.7.19 and prior

    • サブコンポーネント: Server : Partition

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Partitionの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2576

    • 重要度 – Moderate

    • 影響するバージョン: 5.7.20 and prior

    • サブコンポーネント: Server: DML

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • DMLの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2586

    • 重要度 – Moderate

    • 影響するバージョン: 5.7.20 and prior

    • サブコンポーネント: Server: DML

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • DMLの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2646

    • 重要度 – Moderate

    • 影響するバージョン: 5.7.20 and prior

    • サブコンポーネント: Server: DML

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • DMLの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2565

    • 重要度 – Moderate

    • 影響するバージョン: 5.7.20 and prior

    • サブコンポーネント: Server: InnoDB

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2600

    • 重要度 – Moderate

    • 影響するバージョン: 5.7.20 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2667

    • 重要度 – Moderate

    • 影響するバージョン: 5.7.20 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2590

    • 重要度 – Moderate

    • 影響するバージョン5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: Performance Schema

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Performance Schemaの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

  • CVE-2018-2645

    • 重要度 – Moderate

    • 影響するバージョン5.6.38 and prior, 5.7.20 and prior

    • サブコンポーネント: Server: Performance Schema

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)

    • Performance Schemaの脆弱性

    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバのアクセスできる全てのデータにアクセスされたり、クリティカルなデータに不正なアクセスをされる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

セキュリティ系連載案内

セミナー情報

著者が所属しているOSSセキュリティ技術の会では、02/23/(金)に「3コマ連続 [セキュリティトラック] OSSと脆弱性管理」と題して、OSSの利用と脆弱性管理に関しての、パネルディスカッションを含めたセッションを行います。

https://www.ospn.jp/osc2018-spring/modules/eguide/event.php?eid=49がプログラム内容の詳細になりますので、是非お申し込み下さい。

タイトルとURLをコピーしました