こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
7月16日(現地時間)に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2019-3822, CVE-2018-15756, CVE-2019-2822, CVE-2019-2800, CVE-2019-2795, CVE-2019-2746, CVE-2019-2812, CVE-2019-2834, CVE-2019-2805, CVE-2019-2740, CVE-2019-1559, CVE-2019-2758, CVE-2019-2819, CVE-2019-2731, CVE-2019-2778, CVE-2019-2741, CVE-2019-2743, CVE-2019-2739, CVE-2019-2785, CVE-2019-2798, CVE-2019-2879, CVE-2019-2737, CVE-2019-2780, CVE-2019-2784, CVE-2019-2801, CVE-2019-2747, CVE-2019-2757, CVE-2019-2774, CVE-2019-2796, CVE-2019-2802, CVE-2019-2803, CVE-2019-2808, CVE-2019-2810, CVE-2019-2815, CVE-2019-2830, CVE-2019-2752, CVE-2019-2755, CVE-2019-2811, CVE-2019-2826, CVE-2019-2797, CVE-2019-2791, CVE-2019-2738, CVE-2019-2730, CVE-2019-2789, CVE-2019-2814)についてまとめてみます。
[関連リンク(最新5件)]
MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2019)
MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2019)
MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)
MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2018) — | サイオスOSS | サイオステクノロジー
関連するCVE
- CVE-2019-3822
- CVE-2018-15756
- CVE-2019-2822
- CVE-2019-2800
- CVE-2019-2795
- CVE-2019-2746
- CVE-2019-2812
- CVE-2019-2834
- CVE-2019-2805
- CVE-2019-2740
- CVE-2019-1559
- CVE-2019-2758
- CVE-2019-2819
- CVE-2019-2731
- CVE-2019-2778
- CVE-2019-2741
- CVE-2019-2743
- CVE-2019-2739
- CVE-2019-2785
- CVE-2019-2798
- CVE-2019-2879
- CVE-2019-2737
- CVE-2019-2780
- CVE-2019-2784
- CVE-2019-2801
- CVE-2019-2747
- CVE-2019-2757
- CVE-2019-2774
- CVE-2019-2796
- CVE-2019-2802
- CVE-2019-2803
- CVE-2019-2808
- CVE-2019-2810
- CVE-2019-2815
- CVE-2019-2830
- CVE-2019-2752
- CVE-2019-2755
- CVE-2019-2811
- CVE-2019-2826
- CVE-2019-2797
- CVE-2019-2791
- CVE-2019-2738
- CVE-2019-2730
- CVE-2019-2789
- CVE-2019-2814
CVE概要(詳細はCVEのサイトをご確認ください)
- CVE-2019-3822
- 影響するバージョン:5.7.26 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Packaging (cURL)
- CVSS 3.0 Base Score 9.8
- CVSS Vector: 元情報参照
- curlの脆弱性になります。
- CVE-2018-15756
- 影響するバージョン:4.0.9 and prior, 8.0.14 and prior
- サブコンポーネント: Monitoring: General (Spring Framework)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- Spring Frameworkの脆弱性になります。
- CVE-2019-2822
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Shell: Admin – InnoDB Cluster
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2800
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 7.1
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2795
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Charsets
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2746
- 影響するバージョン:8.0.12 and prior
- サブコンポーネント: Server: Data Dictionary
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2812
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2834
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2805
- 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Parser
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2740
- 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: XML
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-1559
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: MySQL Workbench (OpenSSL)
- CVSS 3.0 Base Score 5.9
- CVSS Vector: 元情報参照
- OpenSSLの脆弱性になります。
- CVE-2019-2758
- 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 5.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2819
- 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Security: Audit
- CVSS 3.0 Base Score 5.5
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2731
- 影響するバージョン:5.7.23 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 5.4
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2778
- 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 5.4
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2741
- 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Audit Log
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2743
- 影響するバージョン:8.0.12 and prior
- サブコンポーネント: Server: Security: Roles
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2739
- 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 5.1
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2785
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2798
- 影響するバージョン:8.0.15 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2879
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2737
- 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server : Pluggable Auth
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2780
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Components – Services
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2784
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: DML
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2801
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: FTS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2747
- 影響するバージョン:8.0.12 and prior
- サブコンポーネント: Server: GIS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2757
- 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2774
- 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2796
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2802
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2803
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2808
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2810
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2815
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2830
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2752
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Options
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2755
- 影響するバージョン:5.7.25 and prior, 8.0.15 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2811
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2826
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Security: Roles
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2797
- 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Client programs
- CVSS 3.0 Base Score 4.2
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2791
- 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server: Audit Plug-in
- CVSS 3.0 Base Score 3.8
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2738
- 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
- サブコンポーネント: Server : Compiling
- CVSS 3.0 Base Score 3.1
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2730
- 影響するバージョン:5.6.44 and prior, 5.7.18 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 2.7
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2789
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 2.7
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
- CVE-2019-2814
- 影響するバージョン:8.0.16 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 2.2
- CVSS Vector: 元情報参照
- 情報が分かり次第更新します。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
https://security-tracker.debian.org/tracker/CVE-2019-3822
https://security-tracker.debian.org/tracker/CVE-2018-15756
https://security-tracker.debian.org/tracker/CVE-2019-2822
https://security-tracker.debian.org/tracker/CVE-2019-2800
https://security-tracker.debian.org/tracker/CVE-2019-2795
https://security-tracker.debian.org/tracker/CVE-2019-2746
https://security-tracker.debian.org/tracker/CVE-2019-2812
https://security-tracker.debian.org/tracker/CVE-2019-2834
https://security-tracker.debian.org/tracker/CVE-2019-2805
https://security-tracker.debian.org/tracker/CVE-2019-2740
https://security-tracker.debian.org/tracker/CVE-2019-1559
https://security-tracker.debian.org/tracker/CVE-2019-2758
https://security-tracker.debian.org/tracker/CVE-2019-2819
https://security-tracker.debian.org/tracker/CVE-2019-2731
https://security-tracker.debian.org/tracker/CVE-2019-2778
https://security-tracker.debian.org/tracker/CVE-2019-2741
https://security-tracker.debian.org/tracker/CVE-2019-2743
https://security-tracker.debian.org/tracker/CVE-2019-2739
https://security-tracker.debian.org/tracker/CVE-2019-2785
https://security-tracker.debian.org/tracker/CVE-2019-2798
https://security-tracker.debian.org/tracker/CVE-2019-2879
https://security-tracker.debian.org/tracker/CVE-2019-2737
https://security-tracker.debian.org/tracker/CVE-2019-2780
https://security-tracker.debian.org/tracker/CVE-2019-2784
https://security-tracker.debian.org/tracker/CVE-2019-2801
https://security-tracker.debian.org/tracker/CVE-2019-2747
https://security-tracker.debian.org/tracker/CVE-2019-2757
https://security-tracker.debian.org/tracker/CVE-2019-2774
https://security-tracker.debian.org/tracker/CVE-2019-2796
https://security-tracker.debian.org/tracker/CVE-2019-2802
https://security-tracker.debian.org/tracker/CVE-2019-2803
https://security-tracker.debian.org/tracker/CVE-2019-2808
https://security-tracker.debian.org/tracker/CVE-2019-2810
https://security-tracker.debian.org/tracker/CVE-2019-2815
https://security-tracker.debian.org/tracker/CVE-2019-2830
https://security-tracker.debian.org/tracker/CVE-2019-2752
https://security-tracker.debian.org/tracker/CVE-2019-2755
https://security-tracker.debian.org/tracker/CVE-2019-2811
https://security-tracker.debian.org/tracker/CVE-2019-2826
https://security-tracker.debian.org/tracker/CVE-2019-2797
https://security-tracker.debian.org/tracker/CVE-2019-2791
https://security-tracker.debian.org/tracker/CVE-2019-2738
https://security-tracker.debian.org/tracker/CVE-2019-2730
- Red Hat Enterprise Linux/CentOS
- SUSE
- Ubuntu
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
セミナー情報1
Keycloakの初のコミュニティイベント「Keyconf19」がイギリスにて開催され、日本からも日立の乗松さんが参加・発表され、メンテナとコアな議論をしてきたので、2019/07/19(金) 18:45 〜 20:00 に『OSSセキュリティ技術の会 Keycloakミニ勉強会(副題:Keyconf19で日英クロスボンバーの巻)』と題してkeyconf19の報告会+αを開催することになりました。
Keycloakメンテナからのお土産のステッカーも人数限定であります!
https://secureoss-sig.connpass.com/event/136512/にて申し込みを行っております。奮ってご参加ください。
セミナー情報2
2019/07/31 10:00-17:00で開催される、一般社団法人 日本情報システム・ユーザ協会(JUAS)様による有料ハンズオンセミナー「ハンズオンで学ぶ!クラウド時代の運用管理とセキュリティ対策 」にて当ブログの筆者「面 和毅」が講師を努めます。
本セミナーでは、大手ベンダーや外資系企業、ユーザー企業などでセキュリティの専門家として20年以上の経験を持ち、現在、セキュリティエバンジェリストとして活躍する講師が実体験を交えながら、クラウド上のサーバーを安価に守る方法を、演習をまじえ、具体的にお伝えします。
https://juasseminar.jp/seminars/view/4119290にて申し込みを行っております。奮ってご参加ください。
セミナー情報3
2019/07/23 18:30-20:30で、「再演「やってはイケナイ」をやってみよう」セミナーを行います。
このセミナーは前回の「「やってはイケナイ」をやってみよう」セミナーの再演で、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。
https://sios.connpass.com/event/134622/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。
