MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) — | サイオスOSS | サイオステクノロジー
MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) — | サイオスOSS | サイオステクノロジー

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
4月17日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性 (CVE-2018-2755 , CVE-2018-2805 , CVE-2018-2782 , CVE-2018-2784 , CVE-2018-2819 , CVE-2018-2758 , CVE-2018-2817 , CVE-2018-2775 , CVE-2018-2780 , CVE-2017-3737 , CVE-2018-2761 , CVE-2018-2786 , CVE-2018-2787 , CVE-2018-2812 , CVE-2018-2877 , CVE-2018-2759 , CVE-2018-2766 , CVE-2018-2777 , CVE-2018-2810 , CVE-2018-2818 , CVE-2018-2839 , CVE-2018-2778 , CVE-2018-2779 , CVE-2018-2781 , CVE-2018-2816 , CVE-2018-2846 , CVE-2018-2769 , CVE-2018-2776 , CVE-2018-2762 , CVE-2018-2771 , CVE-2018-2813 , CVE-2018-2773 , CVE-2016-9878 )についてまとめてみます。
関連するCVE
情報源
CVE概要(詳細はCVEのサイトをご確認ください)
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Server: Replication
-
CVSS 3.0 Base Score 7.7
-
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
-
Replicationの非開示の脆弱性
-
影響するバージョン:5.6.39 and prior
-
サブコンポーネント: GIS Extension
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
GIS Extensionの非開示の脆弱性
-
影響するバージョン:5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Server : Security : Privileges
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
Security特権の非開示の脆弱性
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Server: DDL
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
DDLの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Optimizer
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
Optimizerの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Optimizer
-
CVSS 3.0 Base Score 6.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
-
Optimizerの非開示の脆弱性
-
影響するバージョン:3.3.7.3306 and prior, 3.4.5.4248 and prior, 4.0.2.5168 and prior
-
サブコンポーネント: Monitoring: Agent (OpenSSL)
-
CVSS 3.0 Base Score 5.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Client programs
-
CVSS 3.0 Base Score 5.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)
-
Clientプログラムの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 5.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 5.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Optimizer
-
CVSS 3.0 Base Score 5.5
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
-
Optimizerの非開示の脆弱性
-
影響するバージョン:7.2.27 and prior, 7.3.16 and prior, 7.4.14 and prior, 7.5.5 and prior
-
サブコンポーネント: Cluster: ndbcluster/plugin
-
CVSS 3.0 Base Score 5.0
-
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H)
-
N/A
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: InnoDB
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
InnoDBの非開示の脆弱性
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Server : Security : Privileges
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Security:特権の非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: DML
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
DMLの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Optimizer
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Optimizerの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Optimizer
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Optimizerの非開示の脆弱性
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Server: Optimizer
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Optimizerの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Optimizer
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Optimizerの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Performance Schema
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Performance Schemaの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Pluggable Auth
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Pluggable Authの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Group Replication GCS
-
CVSS 3.0 Base Score 4.9
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Group Replication GCSの非開示の脆弱性
-
影響するバージョン:5.7.21 and prior
-
サブコンポーネント: Server: Connection
-
CVSS 3.0 Base Score 4.4
-
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Connectionの非開示の脆弱性
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Server: Locking
-
CVSS 3.0 Base Score 4.4
-
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Lockingの非開示の脆弱性
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Server: DDL
-
CVSS 3.0 Base Score 4.3
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
-
DDLの非開示の脆弱性
-
影響するバージョン:5.5.59 and prior, 5.6.39 and prior, 5.7.21 and prior
-
サブコンポーネント: Client programs
-
CVSS 3.0 Base Score 4.1
-
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
-
Clientプログラムの非開示の脆弱性
-
影響するバージョン:3.3.7.3306 and prior, 3.4.5.4248 and prior, 4.0.2.5168 and prior
-
サブコンポーネント: EM Plugin: General (Spring Framework)
-
CVSS 3.0 Base Score 3.8
-
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
-
Debian
-
Red Hat Enterprise Linux/CentOS
-
SUSE
-
Ubuntu
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2755
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2805
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2782
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2784
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2819
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2758
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2817
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2775
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2780
-
http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3737
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2761
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2786
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2787
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2812
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2877
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2759
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2766
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2777
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2810
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2818
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2839
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2778
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2779
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2781
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2816
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2846
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2769
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2776
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2762
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2771
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2813
-
http://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-2773
-
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-9878
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
セキュリティ系連載案内
-
OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
-
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
-
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。
-
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSに関するお困りごとは サイオス OSSよろず相談室まで
サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。
----- EXTENDED BODY:
フォローしませんか?