MySQLの脆弱性(Oracle Critical Patch Update Advisory

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月21日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性( CVE-2020-8174 CVE-2020-14878 CVE-2020-13935 CVE-2020-1967 CVE-2020-14828 CVE-2020-14775 CVE-2020-14765 CVE-2020-14769 CVE-2020-14830 CVE-2020-14836 CVE-2020-14846 CVE-2020-14800 CVE-2020-14827 CVE-2020-14760 CVE-2020-1730 CVE-2020-14776 CVE-2020-14821 CVE-2020-14829 CVE-2020-14848 CVE-2020-14852 CVE-2020-14814 CVE-2020-14789 CVE-2020-14804 CVE-2020-14812 CVE-2020-14773 CVE-2020-14777 CVE-2020-14785 CVE-2020-14793 CVE-2020-14794 CVE-2020-14809 CVE-2020-14837 CVE-2020-14839 CVE-2020-14845 CVE-2020-14861 CVE-2020-14866 CVE-2020-14868 CVE-2020-14888 CVE-2020-14891 CVE-2020-14893 CVE-2020-14786 CVE-2020-14790 CVE-2020-14844 CVE-2020-14799 CVE-2020-14869 CVE-2020-14672 CVE-2020-14870 CVE-2020-14853 CVE-2020-14867 CVE-2020-14873 CVE-2020-14838 CVE-2020-14860 CVE-2020-14791 CVE-2020-14771)についてまとめてみます。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2020)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2020)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jul 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Apr 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Jan 2019)

情報源

Oracle Critical Patch Update Advisory – Oct 2020

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2020-8174
- 影響するバージョン：7.3.30 and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and prior
- サブコンポーネント: Cluster: JS module (Node.js)
- CVSS 3.0 Base Score 9.8
- CVSS Vector: 元情報参照
CVE-2020-14878
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Security: LDAP Auth
- CVSS 3.0 Base Score 8.0
- CVSS Vector: 元情報参照
CVE-2020-13935
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Monitoring: General (Apache Tomcat)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
CVE-2020-1967
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Workbench: Security: Encryption (OpenSSL)
- CVSS 3.0 Base Score 7.5
- CVSS Vector: 元情報参照
CVE-2020-14828
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: DML
- CVSS 3.0 Base Score 7.2
- CVSS Vector: 元情報参照
CVE-2020-14775
- 影響するバージョン：5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14765
- 影響するバージョン：5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: FTS
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14769
- 影響するバージョン：5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14830
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14836
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14846
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14800
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14827
- 影響するバージョン：5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: Security: LDAP Auth
- CVSS 3.0 Base Score 6.5
- CVSS Vector: 元情報参照
CVE-2020-14760
- 影響するバージョン：5.7.31 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 5.5
- CVSS Vector: 元情報参照
CVE-2020-1730
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: MySQL Workbench (libssh)
- CVSS 3.0 Base Score 5.3
- CVSS Vector: 元情報参照
CVE-2020-14776
- 影響するバージョン：5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14821
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14829
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14848
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14852
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Charsets
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14814
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: DML
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14789
- 影響するバージョン：5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: FTS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14804
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: FTS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14812
- 影響するバージョン：5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: Locking
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14773
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14777
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14785
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14793
- 影響するバージョン：5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14794
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14809
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14837
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14839
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14845
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14861
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14866
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14868
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14888
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14891
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14893
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14786
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: PS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14790
- 影響するバージョン：5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: PS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14844
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: PS
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14799
- 影響するバージョン：8.0.20 and prior
- サブコンポーネント: Server: Security: Encryption
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14869
- 影響するバージョン：5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: Security: LDAP Auth
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14672
- 影響するバージョン：5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: Stored Procedure
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14870
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: X Plugin
- CVSS 3.0 Base Score 4.9
- CVSS Vector: 元情報参照
CVE-2020-14853
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Cluster: NDBCluster Plugin
- CVSS 3.0 Base Score 4.6
- CVSS Vector: 元情報参照
CVE-2020-14867
- 影響するバージョン：5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: DDL
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2020-14873
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Logging
- CVSS 3.0 Base Score 4.4
- CVSS Vector: 元情報参照
CVE-2020-14838
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.3
- CVSS Vector: 元情報参照
CVE-2020-14860
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: Server: Security: Roles
- CVSS 3.0 Base Score 2.7
- CVSS Vector: 元情報参照
CVE-2020-14791
- 影響するバージョン：8.0.21 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 2.2
- CVSS Vector: 元情報参照
CVE-2020-14771
- 影響するバージョン：5.7.31 and prior, 8.0.21 and prior
- サブコンポーネント: Server: Security: LDAP Auth
- CVSS 3.0 Base Score 2.2
- CVSS Vector: 元情報参照

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update Advisory – Oct 2020

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2020併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2020の企画講演セッション及び、一般論文セッションの発表募集をさせていただきます。

今年度はオンラインでの開催となります。奮ってのご投稿、お待ちしております。

https://www.iwsec.org/ows/2020/

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2020)

[関連リンク(最新5件)]

関連するCVE

情報源