MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2018)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月17日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性についてまとめてみます。

• CVE-2017-12617

• 重要度 – Important

• 影響するバージョン：MySQL Enterprise Monitor 3.3.6.3293 and prior, 3.4.4.4226 and prior, 4.0.0.5135 and prior

• サブコンポーネント: Monitoring: General (Apache Tomcat)

• Apache Tomcatに含まれる脆弱性の対応

• CVE-2018-2585

• MySQL Connectorの脆弱性(DoS)

• 影響するバージョン：6.9.9 and prior, 6.10.4 and prior

• サブコンポーネント: Connector/Net

• CVSS 3.0 Base Score 7.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLコネクタを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLコネクタをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2696

• 重要度 – Important

• 影響するバージョン：5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server : Security : Privileges

• CVSS 3.0 Base Score 7.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

• 長いパスワードを用いたsha256_password認証へのDoS

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2562

• 影響するバージョン：5.5.58 and prior, 5.6.38 and prior, 5.7.19 and prior

• サブコンポーネント: Server : Partition

• CVSS 3.0 Base Score 7.1

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2583

• 重要度 – Moderate

• 影響するバージョン：5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Stored Procedure

• CVSS 3.0 Base Score 6.8

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)

• ストアドプロシージャの脆弱性

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2612

• 重要度 – Moderate

• 影響するバージョン：5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: InnoDB

• CVSS 3.0 Base Score 6.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)

• InnoDBの脆弱性

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバがアクセスできる全てのデータやクリティカルなデータに不正な作成・変更・削除のアクセスが出来たり、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2703

• 重要度 – Moderate

• 影響するバージョン：5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server : Security : Privileges

• CVSS 3.0 Base Score 6.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

• sha256_password認証での大きなラウンド値を伴うハッシュを通したDoS

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2622

• 影響するバージョン：5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: DDL

• CVSS 3.0 Base Score 6.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

• DDLの脆弱性

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2573

• 重要度 – Moderate

• 影響するバージョン：5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: GIS

• CVSS 3.0 Base Score 6.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

• GISの脆弱性

• 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2640

• 重要度 – Moderate

• 影響するバージョン：5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: Optimizer

• CVSS 3.0 Base Score 6.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

• Optimizerの脆弱性

• 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2665

• 重要度 – Moderate

• 影響するバージョン：5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: Optimizer

• CVSS 3.0 Base Score 6.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

• Optimizerの脆弱性

• 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2668

• 重要度 – Moderate

• 影響するバージョン：5.5.58 and prior, 5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: Optimizer

• CVSS 3.0 Base Score 6.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

• Optimizerの脆弱性

• 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2017-3736

• 重要度 – Moderate

• 影響するバージョン：5.3.9 and prior

• – サブコンポーネント: Connector/ODBC (OpenSSL)

• 影響するバージョン：3.3.6.3293 and prior, 3.4.4.4226 and prior, 4.0.0.5135 and prior

• – サブコンポーネント: Monitoring: General (OpenSSL)

• OpenSSLに含まれる脆弱性の対応

• CVE-2017-3737

• 重要度 – Moderate

• 影響するバージョン：5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: Packaging (OpenSSL)

• OpenSSLに含まれる脆弱性の対応

• CVE-2018-2647

• 重要度 – Moderate

• 影響するバージョン：5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: Replication

• CVSS 3.0 Base Score 5.5

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)

• Replicationの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる等、またMySQLがアクセスできるデータに不正に更新・挿入・削除を行われる可能性があります。

• CVE-2018-2591

• 重要度 – Moderate

• 影響するバージョン：5.6.38 and prior, 5.7.19 and prior

• サブコンポーネント: Server : Partition

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• Partitionの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2576

• 重要度 – Moderate

• 影響するバージョン： 5.7.20 and prior

• サブコンポーネント: Server: DML

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• DMLの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2586

• 重要度 – Moderate

• 影響するバージョン： 5.7.20 and prior

• サブコンポーネント: Server: DML

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• DMLの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2646

• 重要度 – Moderate

• 影響するバージョン： 5.7.20 and prior

• サブコンポーネント: Server: DML

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• DMLの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2565

• 重要度 – Moderate

• 影響するバージョン： 5.7.20 and prior

• サブコンポーネント: Server: InnoDB

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• InnoDBの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2600

• 重要度 – Moderate

• 影響するバージョン： 5.7.20 and prior

• サブコンポーネント: Server: Optimizer

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• Optimizerの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2667

• 重要度 – Moderate

• 影響するバージョン： 5.7.20 and prior

• サブコンポーネント: Server: Optimizer

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• Optimizerの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2590

• 重要度 – Moderate

• 影響するバージョン5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: Performance Schema

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

• Performance Schemaの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。

• CVE-2018-2645

• 重要度 – Moderate

• 影響するバージョン5.6.38 and prior, 5.7.20 and prior

• サブコンポーネント: Server: Performance Schema

• CVSS 3.0 Base Score 4.9

• CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)

• Performance Schemaの脆弱性

• 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバのアクセスできる全てのデータにアクセスされたり、クリティカルなデータに不正なアクセスをされる可能性があります。

詳細は、各ディストリビューションの提供元にご確認ください

• Debian

• https://security-tracker.debian.org/tracker/CVE-2017-12617

• https://security-tracker.debian.org/tracker/CVE-2018-2585

• https://security-tracker.debian.org/tracker/CVE-2018-2696

• https://security-tracker.debian.org/tracker/CVE-2018-2562

• https://security-tracker.debian.org/tracker/CVE-2018-2583

• https://security-tracker.debian.org/tracker/CVE-2018-2612

• https://security-tracker.debian.org/tracker/CVE-2018-2703

• https://security-tracker.debian.org/tracker/CVE-2018-2622

• https://security-tracker.debian.org/tracker/CVE-2018-2573

• https://security-tracker.debian.org/tracker/CVE-2018-2640

• https://security-tracker.debian.org/tracker/CVE-2018-2665

• https://security-tracker.debian.org/tracker/CVE-2018-2668

• https://security-tracker.debian.org/tracker/CVE-2017-3736

• https://security-tracker.debian.org/tracker/CVE-2017-3737

• https://security-tracker.debian.org/tracker/CVE-2018-2647

• https://security-tracker.debian.org/tracker/CVE-2018-2591

• https://security-tracker.debian.org/tracker/CVE-2018-2576

• https://security-tracker.debian.org/tracker/CVE-2018-2586

• https://security-tracker.debian.org/tracker/CVE-2018-2646

• https://security-tracker.debian.org/tracker/CVE-2018-2565

• https://security-tracker.debian.org/tracker/CVE-2018-2600

• https://security-tracker.debian.org/tracker/CVE-2018-2667

• https://security-tracker.debian.org/tracker/CVE-2018-2590

• https://security-tracker.debian.org/tracker/CVE-2018-2645

• Red Hat Enterprise Linux/CentOS

• https://access.redhat.com/security/cve/CVE-2017-12617

• https://access.redhat.com/security/cve/CVE-2018-2585

• https://access.redhat.com/security/cve/CVE-2018-2696

• https://access.redhat.com/security/cve/CVE-2018-2562

• https://access.redhat.com/security/cve/CVE-2018-2583

• https://access.redhat.com/security/cve/CVE-2018-2612

• https://access.redhat.com/security/cve/CVE-2018-2703

• https://access.redhat.com/security/cve/CVE-2018-2622

• https://access.redhat.com/security/cve/CVE-2018-2573

• https://access.redhat.com/security/cve/CVE-2018-2640

• https://access.redhat.com/security/cve/CVE-2018-2665

• https://access.redhat.com/security/cve/CVE-2018-2668

• https://access.redhat.com/security/cve/CVE-2017-3736

• https://access.redhat.com/security/cve/CVE-2017-3737

• https://access.redhat.com/security/cve/CVE-2018-2647

• https://access.redhat.com/security/cve/CVE-2018-2591

• https://access.redhat.com/security/cve/CVE-2018-2576

• https://access.redhat.com/security/cve/CVE-2018-2586

• https://access.redhat.com/security/cve/CVE-2018-2646

• https://access.redhat.com/security/cve/CVE-2018-2565

• https://access.redhat.com/security/cve/CVE-2018-2600

• https://access.redhat.com/security/cve/CVE-2018-2667

• https://access.redhat.com/security/cve/CVE-2018-2590

• https://access.redhat.com/security/cve/CVE-2018-2645

• SUSE

• https://www.suse.com/security/cve/CVE-2017-12617.html

• https://www.suse.com/security/cve/CVE-2018-2585.html

• https://www.suse.com/security/cve/CVE-2018-2696.html

• https://www.suse.com/security/cve/CVE-2018-2562.html

• https://www.suse.com/security/cve/CVE-2018-2583.html

• https://www.suse.com/security/cve/CVE-2018-2612.html

• https://www.suse.com/security/cve/CVE-2018-2703.html

• https://www.suse.com/security/cve/CVE-2018-2622.html

• https://www.suse.com/security/cve/CVE-2018-2573.html

• https://www.suse.com/security/cve/CVE-2018-2640.html

• https://www.suse.com/security/cve/CVE-2018-2665.html

• https://www.suse.com/security/cve/CVE-2018-2668.html

• https://www.suse.com/security/cve/CVE-2017-3736.html

• https://www.suse.com/security/cve/CVE-2017-3737.html

• https://www.suse.com/security/cve/CVE-2018-2647.html

• https://www.suse.com/security/cve/CVE-2018-2591.html

• https://www.suse.com/security/cve/CVE-2018-2576.html

• https://www.suse.com/security/cve/CVE-2018-2586.html

• https://www.suse.com/security/cve/CVE-2018-2646.html

• https://www.suse.com/security/cve/CVE-2018-2565.html

• https://www.suse.com/security/cve/CVE-2018-2600.html

• https://www.suse.com/security/cve/CVE-2018-2667.html

• https://www.suse.com/security/cve/CVE-2018-2590.html

• https://www.suse.com/security/cve/CVE-2018-2645.html

• Ubuntu

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-12617

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2585

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2696

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2562

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2583

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2612

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2703

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2622

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2573

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2640

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2665

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2668

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3736

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3737

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2647

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2591

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2576

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2586

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2646

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2565

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2600

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2667

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2590

• http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2018-2645

---

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

---

[参考]

Oracle Critical Patch Update Advisory – Jan 2018