MySQLの脆弱性(Oracle Critical Patch Update Advisory

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

4月15日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2019-5482 CVE-2019-19646 CVE-2019-14889 CVE-2019-17563 CVE-2019-15601 CVE-2019-15601 CVE-2020-2780 CVE-2020-2790 CVE-2020-2768 CVE-2020-2804 CVE-2020-2760 CVE-2020-2752 CVE-2020-2806 CVE-2020-2934 CVE-2020-2762 CVE-2020-2814 CVE-2020-2893 CVE-2020-2895 CVE-2020-2898 CVE-2020-2903 CVE-2020-2896 CVE-2020-2770 CVE-2020-2765 CVE-2020-2892 CVE-2020-2897 CVE-2020-2923 CVE-2020-2924 CVE-2020-2901 CVE-2020-2928 CVE-2020-2904 CVE-2020-2925 CVE-2020-2759 CVE-2020-2763 CVE-2020-2761 CVE-2020-2774 CVE-2020-2853 CVE-2020-2779 CVE-2020-2812 CVE-2020-2875 CVE-2019-1547 CVE-2020-2926 CVE-2020-2921 CVE-2020-2930 CVE-2020-2922 CVE-2020-2933)についてまとめてみます。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jul 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)

MySQLの脆弱性(CVE-2017-5645, CVE-2017-0379, CVE-2018-3064, CVE-2018-0739, CVE-2018-0739, CVE-2018-3070, CVE-2018-3060, CVE-2018-3065, CVE-2018-0739, CVE-2018-3073, CVE-2018-0739, CVE-2018-3074, CVE-2018-3062, CVE-2018-3081, CVE-2018-3071, CVE-2018-3079, CVE-2018-3054, CVE-2018-3077, CVE-2018-3078, CVE-2018-3080, CVE-2018-3061, CVE-2018-3067, CVE-2018-3063, CVE-2018-3075, CVE-2018-3058, CVE-2018-3056, CVE-2018-2598, CVE-2018-3066, CVE-2018-2767, CVE-2018-3084, CVE-2018-3082)

情報源

Oracle Critical Patch Update Advisory – Apr 2020

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2019-5482
- 影響するバージョン：5.7.28 and prior, 8.0.18 and prior
- サブコンポーネント: Server: Compiling (cURL)
- CVSS 3.0 Base Score 9.8
- CVSS Vector: 元情報参照
- curlの脆弱性情報(Medium: CVE-2019-5481, CVE-2019-5482)になります。
CVE-2019-19646
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: MySQL Workbench (SQLite)
- CVSS 3.0 Base Score 9.8
- CVSS Vector: 元情報参照
- SQLite における例外的な状態のチェックに関する脆弱性になります。
CVE-2019-14889
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: MySQL Workbench (libssh)
- CVSS 3.0 Base Score 8.0
- CVSS Vector: 元情報参照
- libssh におけるインジェクションに関する脆弱性になります。
CVE-2019-17563
- 影響するバージョン：8.0.18.1217 and prior, 4.0.11.5331 and prior
- サブコンポーネント: Service Manager (Apache Tomcat)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- tomcatの複数の脆弱性情報(CVE-2019-12418, CVE-2019-17563)になります。
CVE-2019-15601
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: MySQL Workbench (cURL)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
- CURL における入力確認に関する脆弱性になります。
CVE-2020-2780
- 影響するバージョン：5.6.47 and prior, 5.7.29 and prior, 8.0.19 and prior
- サブコンポーネント: Server: DML
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2790
- 影響するバージョン：5.7.28 and prior
- サブコンポーネント: Server: Pluggable Auth
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2768
- 影響するバージョン：7.3.28 and prior, 7.4.27 and prior, 7.5.17 and prior, 7.6.13 and prior, 8.0.19 and prior
- サブコンポーネント: Cluster: General
- CVSS 3.0 Base Score 6.3
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2804
- 影響するバージョン：5.6.47 and prior, 5.7.29 and prior, 8.0.19 and prior
- サブコンポーネント: Server: Memcached
- CVSS 3.0 Base Score 5.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2760
- 影響するバージョン：5.7.29 and prior, 8.0.19 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 5.5
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2752
- 影響するバージョン：5.6.47 and prior, 5.7.27 and prior, 8.0.17 and prior
- サブコンポーネント: C API
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2806
- 影響するバージョン：5.7.28 and prior
- サブコンポーネント: Server: Compiling
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2934
- 影響するバージョン：8.0.19 and prior, 5.1.48 and prior
- サブコンポーネント: Connector
- CVSS 3.0 Base Score 5.0
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2762
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2814
- 影響するバージョン：5.6.47 and prior, 5.7.28 and prior, 8.0.18 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2893
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2895
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2898
- 影響するバージョン：8.0.19
- サブコンポーネント: Server: Charsets
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2903
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Connection Handling
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2896
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Information Schema
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2770
- 影響するバージョン：8.0.18 and prior
- サブコンポーネント: Server: Logging
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2765
- 影響するバージョン：5.7.29 and prior, 8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2892
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2897
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2923
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2924
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2901
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2928
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2904
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2925
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: PS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2759
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2763
- 影響するバージョン：5.6.47 and prior, 5.7.29 and prior, 8.0.19 and prior
- サブコンポーネント: Server: Replication
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2761
- 影響するバージョン：8.0.18 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2774
- 影響するバージョン：8.0.18 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2853
- 影響するバージョン：8.0.18 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2779
- 影響するバージョン：8.0.18 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2812
- 影響するバージョン：5.6.47 and prior, 5.7.29 and prior, 8.0.19 and prior
- サブコンポーネント: Server: Stored Procedure
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2875
- 影響するバージョン：8.0.14 and prior, 5.1.48 and prior
- サブコンポーネント: Connector
- CVSS 3.0 Base Score 4.7
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2019-1547
- 影響するバージョン：5.6.46 and prior, 5.7.26 and prior, 8.0.18 and prior
- サブコンポーネント: Server: Packaging (OpenSSL)
- CVSS 3.0 Base Score 4.7
- CVSS Vector: 元情報参照
- OpenSSLの脆弱性になります。
CVE-2020-2926
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Group Replication GCS
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2921
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Group Replication Plugin
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2930
- 影響するバージョン：8.0.19 and prior
- サブコンポーネント: Server: Parser
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2922
- 影響するバージョン：5.6.47 and prior, 5.7.29 and prior, 8.0.18 and prior
- サブコンポーネント: C API
- CVSS 3.0 Base Score 3.7
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。
CVE-2020-2933
- 影響するバージョン：5.1.48 and prior
- サブコンポーネント: Connector
- CVSS 3.0 Base Score 2.2
- CVSS Vector: 元情報参照
- 細かい情報が出てきたら更新します。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

Ubuntu

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update Advisory – Apr 2020

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2020)

[関連リンク(最新5件)]

関連するCVE

情報源

CVE概要(詳細はCVEのサイトをご確認ください)

主なディストリビューションの対応方法

対処方法

[参考]

セキュリティ系連載案内