MySQLの脆弱性(Oracle Critical Patch Update Advisory

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

4月16日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2019-2632, CVE-2019-2693, CVE-2019-2694, CVE-2019-2695, CVE-2019-2692, CVE-2019-1559, CVE-2018-3123, CVE-2019-2623, CVE-2018-0734, CVE-2019-2634, CVE-2019-2580, CVE-2019-2585, CVE-2019-2593, CVE-2019-2624, CVE-2019-2628, CVE-2019-2566, CVE-2019-2626, CVE-2019-2644, CVE-2019-2631, CVE-2019-2581, CVE-2019-2596, CVE-2019-2607, CVE-2019-2625, CVE-2019-2681, CVE-2019-2685, CVE-2019-2686, CVE-2019-2687, CVE-2019-2688, CVE-2019-2689, CVE-2019-2683, CVE-2019-2592, CVE-2019-2587, CVE-2019-2635, CVE-2019-2584, CVE-2019-2589, CVE-2019-2606, CVE-2019-2620, CVE-2019-2627, CVE-2019-2691, CVE-2019-2636, CVE-2019-2614, CVE-2019-2617, CVE-2019-2630)についてまとめてみます。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)

MySQLの脆弱性(CVE-2017-5645, CVE-2017-0379, CVE-2018-3064, CVE-2018-0739, CVE-2018-0739, CVE-2018-3070, CVE-2018-3060, CVE-2018-3065, CVE-2018-0739, CVE-2018-3073, CVE-2018-0739, CVE-2018-3074, CVE-2018-3062, CVE-2018-3081, CVE-2018-3071, CVE-2018-3079, CVE-2018-3054, CVE-2018-3077, CVE-2018-3078, CVE-2018-3080, CVE-2018-3061, CVE-2018-3067, CVE-2018-3063, CVE-2018-3075, CVE-2018-3058, CVE-2018-3056, CVE-2018-2598, CVE-2018-3066, CVE-2018-2767, CVE-2018-3084, CVE-2018-3082)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2018)

情報源

Oracle Critical Patch Update Advisory – Apr 2019

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2019-2632
- 影響するバージョン：5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server : Pluggable Auth
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
CVE-2019-2693
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2694
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2695
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2019-2692
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Connector
- CVSS 3.0 Base Score 6.3
- CVSS Vector: 元情報参照
CVE-2019-1559
- 影響するバージョン：5.3.12 and prior, 8.0.15 and prior
- サブコンポーネント: Connector ODBC (OpenSSL)
- CVSS 3.0 Base Score 5.9
- CVSS Vector: 元情報参照
- OpenSSLの脆弱性の修正になります。
CVE-2019-1559
- 影響するバージョン：5.6.43 and prior, 5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Compiling (OpenSSL)
- CVSS 3.0 Base Score 5.9
- CVSS Vector: 元情報参照
- OpenSSLの脆弱性の修正になります。
CVE-2018-3123
- 影響するバージョン：5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
- サブコンポーネント: Server: libmysqld
- CVSS 3.0 Base Score 5.9
- CVSS Vector: 元情報参照
CVE-2019-2623
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Options
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
CVE-2018-0734
- 影響するバージョン：3.12.3 and prior, 4.1.2 and prior
- サブコンポーネント: Enterprise Backup (OpenSSL)
- CVSS 3.0 Base Score 5.1
- CVSS Vector: 元情報参照
- OpenSSLの脆弱性の修正になります。
CVE-2019-2634
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 5.1
- CVSS Vector: 元情報参照
CVE-2019-2580
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2585
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2593
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2624
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2628
- 影響するバージョン：5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2566
- 影響するバージョン：5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Audit Plug-in
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2626
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: DDL
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2644
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: DDL
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2631
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Information Schema
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2581
- 影響するバージョン：5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2596
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2607
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2625
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2681
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2685
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2686
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2687
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2688
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2689
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2683
- 影響するバージョン：5.6.43 and prior, 5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Options
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2592
- 影響するバージョン：5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: PS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2587
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Partition
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2635
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2584
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2589
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2606
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2620
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2627
- 影響するバージョン：5.6.43 and prior, 5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2691
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Security: Roles
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2019-2636
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Group Replication Plugin
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2019-2614
- 影響するバージョン：5.6.43 and prior, 5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2019-2617
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2019-2630
- 影響するバージョン：8.0.15 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update Advisory – Apr 2019

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。

セミナー情報1

2019/07/31 10:00-17:00で開催される、一般社団法人　日本情報システム・ユーザ協会（JUAS）様による有料ハンズオンセミナー「ハンズオンで学ぶ！クラウド時代の運用管理とセキュリティ対策」にて当ブログの筆者「面　和毅」が講師を努めます。

本セミナーでは、大手ベンダーや外資系企業、ユーザー企業などでセキュリティの専門家として20年以上の経験を持ち、現在、セキュリティエバンジェリストとして活躍する講師が実体験を交えながら、クラウド上のサーバーを安価に守る方法を、演習をまじえ、具体的にお伝えします。

https://juasseminar.jp/seminars/view/4119290にて申し込みを行っております。奮ってご参加ください。

セミナー情報2

2019/05/30 18:00-22:00で、「「やってはイケナイ」をやってみよう」セミナーを行います。

このセミナーでは、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。

https://sios.connpass.com/event/129136/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2019)

[関連リンク(最新5件)]

関連するCVE

情報源