MySQLの脆弱性情報(Oracle Critical Patch Update Advisory April)

4月21日に月例のOracle Critical Patch Update Advisoryが公開されました。今回はこの中のMySQLの脆弱性についてまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

4月21日に月例のOracle Critical Patch Update Advisoryが公開されました。今回はこの中のMySQLの脆弱性についてまとめてみます。

情報源

Oracle Critical Patch Update Advisory – April 2017

Oracle社のサイトのため、脆弱性で非公開にされている情報は、Oracle社が公開した際にアップデートします。

Priority

Moderate

影響するバージョン

JAVA SE 6 Update113, JAVA SE 7 Update99, JAVA SE 8 Update77 以前の全てのバージョン

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2016-2176

OpenSSL1.0.1t/1.0.2h以前のバージョンであったx509のX509_NAME_oneline()関数によるバッファーオーバーリードの問題
重要度 – Low

CVE-2016-3092

Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
重要度 – Moderate

CVE-2016-6303

MDC2_Update()関数の呼出しにヒープベースバッファオーバーフロー
重要度 – Moderate

CVE-2017-3302

libmysqlclient.soにuse-after-freeの問題
重要度 – Low

CVE-2017-3304

MySQL Clusterの問題

CVE-2017-3305

Riddle : CVE-2017-3305
重要度 – Moderate

CVE-2017-3306

MySQL Enterprise Monitorの問題

CVE-2017-3307

MySQL Enterprise Monitorの問題
重要度 – Critical

CVE-2017-3308

Server:DMLの脆弱性
重要度 – Important

CVE-2017-3309

Server:Optimizerの脆弱性
重要度 – Important

CVE-2017-3329

Server: スレッドプーリングの脆弱性
重要度 – Moderate

CVE-2017-3331

Server:DMLの脆弱性
重要度 – Moderate

CVE-2017-3450

Server:Memcachedの脆弱性
重要度 – Moderate

CVE-2017-3452

Server:Optimizerの脆弱性
重要度 – Moderate

CVE-2017-3453

Server:Optimizerの脆弱性
重要度 – Moderate

CVE-2017-3454

Server:InnoDBの脆弱性
重要度 – Moderate

CVE-2017-3455

Server:Security:privilegsの脆弱性
重要度 – Moderate

CVE-2017-3456

Server:DMLの脆弱性
重要度 – Moderate

CVE-2017-3457

Server:DMLの脆弱性
重要度 – Moderate

CVE-2017-3458

Server:DMLの脆弱性
重要度 – Moderate

CVE-2017-3459

Server:Optimizerの脆弱性
重要度 – Moderate

CVE-2017-3460

Server:Audit Plug-inの脆弱性
重要度 – Moderate

CVE-2017-3461

Server:Security:privilegsの脆弱性
重要度 – Moderate

CVE-2017-3462

Server:Security:privilegsの脆弱性
重要度 – Moderate

CVE-2017-3463

Server:Security:privilegsの脆弱性
重要度 – Moderate

CVE-2017-3464

Server:DDLの脆弱性
重要度 – Moderate

CVE-2017-3465

Server:Security:privilegsの脆弱性
重要度 – Moderate

CVE-2017-3467

Server:CAPIの脆弱性
重要度 – Low

CVE-2017-3468

Server:Security:Encryptionの脆弱性
重要度 – Moderate

CVE-2017-3469

MySQL Workbenchの問題

CVE-2017-3523

MySQL Connectorの問題

CVE-2017-3586

MySQL Connectorの問題

CVE-2017-3589

MySQL Connectorの問題

CVE-2017-3590

MySQL Connectorの問題

CVE-2017-3599

Server:Pluggable Authの脆弱性
重要度 – Important

CVE-2017-3600

データベースやテーブルを作成する特権を持つDBユーザが、mysqldumpツールによるDBリストア中に任意のコマンドを実行できる可能性
重要度 – Moderate

CVE-2017-3731

CVE-2017-3732

BN_mod_expがx86_64で不正な結果を提供する可能性(OpenSSL対応)
重要度 – Critical

CVE-2017-5638

Apache Struts2の脆弱性の対応
重要度 – Critical

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

Debian

Red Hat Enterprise Linux/CentOS

Oracle Linux

Oracle Linux 6
Oracle Linux 7

SUSE

ubuntu

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、javaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update Advisory – April 2017

関連コンテンツ: MySQLの脆弱性情報(CVE-2016-6663)のPoCとSELinux; MySQLでリモートからroot権限でファイルを実行できる脆弱性(CVE-2016-6662); MySQL(MariaDB) 5.5/5.6のmysql clientの脆弱性( Riddle : CVE-2017-3305 )

—–

MySQLの脆弱性情報(Oracle Critical Patch Update Advisory April) — | サイオスOSS | サイオステクノロジー

MySQLの脆弱性情報(Oracle Critical Patch Update Advisory April)

関連するCVE

情報源

Oracle Critical Patch Update Advisory – April 2017

Priority

影響するバージョン

CVE概要(詳細はCVEのサイトをご確認ください)

主なディストリビューションの対応方法

対処方法