MySQLの脆弱性(Oracle Critical Patch Update Advisory

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月16日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2019-8457, CVE-2019-5443, CVE-2019-10072, CVE-2019-1543, CVE-2019-3011, CVE-2019-2966, CVE-2019-2967, CVE-2019-2974, CVE-2019-2946, CVE-2019-3004, CVE-2019-2914, CVE-2019-2969, CVE-2019-2991, CVE-2019-2920, CVE-2019-2993, CVE-2019-2922, CVE-2019-2923, CVE-2019-2924, CVE-2019-1549, CVE-2019-2963, CVE-2019-2968, CVE-2019-3003, CVE-2019-2997, CVE-2019-2948, CVE-2019-2950, CVE-2019-2982, CVE-2019-2998, CVE-2019-2960, CVE-2019-2957, CVE-2019-2938, CVE-2019-3018, CVE-2019-3009, CVE-2019-2910, CVE-2019-2911)についてまとめてみます。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)

MySQLの脆弱性(CVE-2017-5645, CVE-2017-0379, CVE-2018-3064, CVE-2018-0739, CVE-2018-0739, CVE-2018-3070, CVE-2018-3060, CVE-2018-3065, CVE-2018-0739, CVE-2018-3073, CVE-2018-0739, CVE-2018-3074, CVE-2018-3062, CVE-2018-3081, CVE-2018-3071, CVE-2018-3079, CVE-2018-3054, CVE-2018-3077, CVE-2018-3078, CVE-2018-3080, CVE-2018-3061, CVE-2018-3067, CVE-2018-3063, CVE-2018-3075, CVE-2018-3058, CVE-2018-3056, CVE-2018-2598, CVE-2018-3066, CVE-2018-2767, CVE-2018-3084, CVE-2018-3082)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー

情報源

Oracle Critical Patch Update Advisory – Oct 2019

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2019-8457
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: MySQL Workbench (SQLite)
- CVSS 3.0 Base Score 9.8
- CVSS Vector: 元情報参照
- SQLite3 には、境界外読み取りに関する脆弱性が存在します。
CVE-2019-5443
- 影響するバージョン：5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: Server: Compiling (cURL)
- CVSS 3.0 Base Score 7.8
- CVSS Vector: 元情報参照
- curlにはコードインジェクション攻撃を成功させるバグが存在します。
CVE-2019-10072
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Monitoring: General (Apache Tomcat)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- Apache TomcatにはDoSの脆弱性が存在します。
CVE-2019-1543
- 影響するバージョン：5.3.13 and prior, 8.0.17 and prior
- サブコンポーネント: Connector／ODBC (OpenSSL)
- CVSS 3.0 Base Score 7.4
- CVSS Vector: 元情報参照
- OpenSSLには脆弱性が存在します
CVE-2019-3011
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: C API
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2966
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2967
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2974
- 影響するバージョン：5.6.45 and prior, 5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2946
- 影響するバージョン：5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: Server: PS
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-3004
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: Parser
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2914
- 影響するバージョン：5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2969
- 影響するバージョン：5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Client programs
- CVSS 3.0 Base Score 6.2
- CVSS Vector: 元情報参照
CVE-2019-2991
- 影響するバージョン：8.017 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 5.5
- CVSS Vector: 元情報参照
CVE-2019-2920
- 影響するバージョン：5.3.13 and prior, 8.0.17 and prior
- サブコンポーネント: Connector／ODBC
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
CVE-2019-2993
- 影響するバージョン：5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: Server: C API
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
CVE-2019-2922
- 影響するバージョン：5.6.45 and prior, 5.7.27 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
CVE-2019-2923
- 影響するバージョン：5.6.45 and prior, 5.7.27 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
CVE-2019-2924
- 影響するバージョン：5.6.45 and prior, 5.7.27 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
CVE-2019-1549
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Workbench: Security: Encryption (OpenSSL)
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- OpenSSLには脆弱性が存在します。
CVE-2019-2963
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2968
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-3003
- 影響するバージョン：8.0.16 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2997
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: DDL
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2948
- 影響するバージョン：5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2950
- 影響するバージョン：8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2982
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2998
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2960
- 影響するバージョン：5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2957
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2938
- 影響するバージョン：5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2019-3018
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2019-3009
- 影響するバージョン：8.0.17 and prior
- サブコンポーネント: Server: Connection
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2019-2910
- 影響するバージョン：5.6.45 and prior, 5.7.27 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
CVE-2019-2911
- 影響するバージョン：5.6.45 and prior, 5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: Information Schema
- CVSS 3.0 Base Score 2.7
- CVSS Vector: 元情報参照

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update Advisory – Oct 2019

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。

セミナー情報1

2019/10/29(火) 18:30-20:30に「「やってはイケナイ」をやってみよう第3弾_in 大阪」と題しましたセミナーを開催します。このセミナーでは、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。

また、(ゲリラ的にOSSセキュリティ技術の会の所属としてですが)先日サンディエゴで開催されましたLinux Security Summit 2019の情報共有も行う予定です。

プログラム内容と申し込みの詳細につきましては、https://sios.connpass.com/event/148268/をご覧下さい。

皆様の申込みをお待ちしております。

セミナー情報2

コンピュータセキュリティシンポジウム2019(長崎)が2019年10月21日(月) ～ 10月24日(木)で開催されます。

こちらですが、OSSセキュリティ技術の会も後援になっており、オープンソースソフトウェア（OSS）セキュリティ技術トラック（略称：OWSトラック）も用意しております。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2019)

[関連リンク(最新5件)]

関連するCVE

情報源