MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー

2018.04.18

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018)

4月17日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性 (CVE-2018-2755 , CVE-2018-2805 , CVE-2018-2782 , CVE-2018-2784 , CVE-2018-2819 , CVE-2018-2758 , CVE-2018-2817 , CVE-2018-2775 , CVE-2018-2780 , CVE-2017-3737 , CVE-2018-2761 , CVE-2018-2786 , CVE-2018-2787 , CVE-2018-2812 , CVE-2018-2877 , CVE-2018-2759 , CVE-2018-2766 , CVE-2018-2777 , CVE-2018-2810 , CVE-2018-2818 , CVE-2018-2839 , CVE-2018-2778 , CVE-2018-2779 , CVE-2018-2781 , CVE-2018-2816 , CVE-2018-2846 , CVE-2018-2769 , CVE-2018-2776 , CVE-2018-2762 , CVE-2018-2771 , CVE-2018-2813 , CVE-2018-2773 , CVE-2016-9878 )についてまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

4月17日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性 (CVE-2018-2755 , CVE-2018-2805 , CVE-2018-2782 , CVE-2018-2784 , CVE-2018-2819 , CVE-2018-2758 , CVE-2018-2817 , CVE-2018-2775 , CVE-2018-2780 , CVE-2017-3737 , CVE-2018-2761 , CVE-2018-2786 , CVE-2018-2787 , CVE-2018-2812 , CVE-2018-2877 , CVE-2018-2759 , CVE-2018-2766 , CVE-2018-2777 , CVE-2018-2810 , CVE-2018-2818 , CVE-2018-2839 , CVE-2018-2778 , CVE-2018-2779 , CVE-2018-2781 , CVE-2018-2816 , CVE-2018-2846 , CVE-2018-2769 , CVE-2018-2776 , CVE-2018-2762 , CVE-2018-2771 , CVE-2018-2813 , CVE-2018-2773 , CVE-2016-9878 )についてまとめてみます。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-2755

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Server: Replication

    • CVSS 3.0 Base Score 7.7

    • CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

    • Replicationの非開示の脆弱性

  • CVE-2018-2805

    • 影響するバージョン:5.6.39 and prior

    • サブコンポーネント: GIS Extension

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • GIS Extensionの非開示の脆弱性

  • CVE-2018-2782

    • 影響するバージョン:5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2784

    • 影響するバージョン:5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2819

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2758

    • 影響するバージョン:5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Server : Security : Privileges

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • Security特権の非開示の脆弱性

  • CVE-2018-2817

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Server: DDL

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • DDLの非開示の脆弱性

  • CVE-2018-2775

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの非開示の脆弱性

  • CVE-2018-2780

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 6.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの非開示の脆弱性

  • CVE-2017-3737

    • 影響するバージョン:3.3.7.3306 and prior, 3.4.5.4248 and prior, 4.0.2.5168 and prior

    • サブコンポーネント: Monitoring: Agent (OpenSSL)

    • CVSS 3.0 Base Score 5.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

    • OpenSSLの脆弱性になります。

  • CVE-2018-2761

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Client programs

    • CVSS 3.0 Base Score 5.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)

    • Clientプログラムの非開示の脆弱性

  • CVE-2018-2786

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 5.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2787

    • 影響するバージョン:5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 5.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2812

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 5.5

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)

    • Optimizerの非開示の脆弱性

  • CVE-2018-2877

    • 影響するバージョン:7.2.27 and prior, 7.3.16 and prior, 7.4.14 and prior, 7.5.5 and prior

    • サブコンポーネント: Cluster: ndbcluster/plugin

    • CVSS 3.0 Base Score 5.0

    • CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H)

    • N/A

  • CVE-2018-2759

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2766

    • 影響するバージョン:5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2777

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2810

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: InnoDB

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • InnoDBの非開示の脆弱性

  • CVE-2018-2818

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Server : Security : Privileges

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Security:特権の非開示の脆弱性

  • CVE-2018-2839

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: DML

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • DMLの非開示の脆弱性

  • CVE-2018-2778

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの非開示の脆弱性

  • CVE-2018-2779

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの非開示の脆弱性

  • CVE-2018-2781

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの非開示の脆弱性

  • CVE-2018-2816

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Optimizer

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Optimizerの非開示の脆弱性

  • CVE-2018-2846

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Performance Schema

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Performance Schemaの非開示の脆弱性

  • CVE-2018-2769

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Pluggable Auth

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Pluggable Authの非開示の脆弱性

  • CVE-2018-2776

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Group Replication GCS

    • CVSS 3.0 Base Score 4.9

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Group Replication GCSの非開示の脆弱性

  • CVE-2018-2762

    • 影響するバージョン:5.7.21 and prior

    • サブコンポーネント: Server: Connection

    • CVSS 3.0 Base Score 4.4

    • CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Connectionの非開示の脆弱性

  • CVE-2018-2771

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Server: Locking

    • CVSS 3.0 Base Score 4.4

    • CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Lockingの非開示の脆弱性

  • CVE-2018-2813

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Server: DDL

    • CVSS 3.0 Base Score 4.3

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

    • DDLの非開示の脆弱性

  • CVE-2018-2773

    • 影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior

    • サブコンポーネント: Client programs

    • CVSS 3.0 Base Score 4.1

    • CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)

    • Clientプログラムの非開示の脆弱性

  • CVE-2016-9878

    • 影響するバージョン:3.3.7.3306 and prior, 3.4.5.4248 and prior, 4.0.2.5168 and prior

    • サブコンポーネント: EM Plugin: General (Spring Framework)

    • CVSS 3.0 Base Score 3.8

    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

    • Spring Frameworkの脆弱性になります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update Advisory – Apr 2018

セキュリティ系連載案内

関連コンテンツ
MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2018)
MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2017)
MySQLの脆弱性情報(Oracle Critical Patch Update Advisory Jul)
MySQLの脆弱性情報(Oracle Critical Patch Update Advisory April)
タイトルとURLをコピーしました