MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2018)



こちらでは主にOSSの脆弱性を取り上げていきます。10月16日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2018-11776, CVE-2018-8014, CVE-2018-3258, CVE-2018-1258, CVE-2016-9843, CVE-2018-3155, CVE-2018-3143, CVE-2018-3156, CVE-2018-3251, CVE-2018-3182, CVE-2018-3137, CVE-2018-3203, CVE-2018-3133, CVE-2018-3145, CVE-2018-3144, CVE-2018-3185, CVE-2018-3195, CVE-2018-3247, CVE-2018-3187, CVE-2018-3174, CVE-2018-3171, CVE-2018-3277, CVE-2018-3162, CVE-2018-3173, CVE-2018-3200, CVE-2018-3170, CVE-2018-3212, CVE-2018-3280, CVE-2018-3276, CVE-2018-3186, CVE-2018-3161, CVE-2018-3278, CVE-2018-3279, CVE-2018-3282, CVE-2018-3285, CVE-2018-3284, CVE-2018-3283, CVE-2018-3286)についてまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

こちらでは主にOSSの脆弱性を取り上げていきます。10月16日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2018-11776, CVE-2018-8014, CVE-2018-3258, CVE-2018-1258, CVE-2016-9843, CVE-2018-3155, CVE-2018-3143, CVE-2018-3156, CVE-2018-3251, CVE-2018-3182, CVE-2018-3137, CVE-2018-3203, CVE-2018-3133, CVE-2018-3145, CVE-2018-3144, CVE-2018-3185, CVE-2018-3195, CVE-2018-3247, CVE-2018-3187, CVE-2018-3174, CVE-2018-3171, CVE-2018-3277, CVE-2018-3162, CVE-2018-3173, CVE-2018-3200, CVE-2018-3170, CVE-2018-3212, CVE-2018-3280, CVE-2018-3276, CVE-2018-3186, CVE-2018-3161, CVE-2018-3278, CVE-2018-3279, CVE-2018-3282, CVE-2018-3285, CVE-2018-3284, CVE-2018-3283, CVE-2018-3286)についてまとめてみます。



CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2018-11776
  • CVE-2018-8014
  • CVE-2018-3258
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Connector
    • CVSS 3.0 Base Score 8.8
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者がネットワークを通して複数のプロトコルを用いてMySQLコネクタにアクセスし、侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLコネクタの権限を引き継ぐことが出来ます。
  • CVE-2018-1258
  • CVE-2016-9843
  • CVE-2018-3155
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 7.7
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3143
    • 影響するバージョン:5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3156
    • 影響するバージョン:5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3251
    • 影響するバージョン:5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3182
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3137
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3203
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3133
    • 影響するバージョン:5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3145
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3144
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Security: Audit
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
    • 悪用が難しい脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3185
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
  • CVE-2018-3195
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
  • CVE-2018-3247
    • 影響するバージョン:5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Merge
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
  • CVE-2018-3187
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
  • CVE-2018-3174
    • 影響するバージョン:5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Client programs
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H
    • 悪用が難しい脆弱性により、権限の高い攻撃者がMySQLサーバを実行しているインフラにログオン出来る場合に、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3171
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Partition
    • CVSS 3.0 Base Score 5.0
    • CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H
    • 悪用が難しい脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
  • CVE-2018-3277
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3162
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3173
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3200
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3170
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3212
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Information Schema
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3280
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: JSON
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3276
    • 影響するバージョン:5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Memcached
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3186
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3161
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Partition
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3278
    • 影響するバージョン:5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: RBR
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3279
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Security: Roles
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3282
    • 影響するバージョン:5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Storage Engines
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3285
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Windows
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3284
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3283
    • 影響するバージョン:5.7.23 and prior, 8.0.12 and prior
    • サブコンポーネント: Server: Logging
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H
    • 悪用が難しい脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2018-3286
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 4.3
    • CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内


セミナー情報 1

2018年10月22日から10月25日のCSS(Computer Security Symposium)2018で、「OSSセキュリティ技術ワークショップ(OWS) 2018特別セッション」 と題しまして、OSSセキュリティ技術の会後援で特別セッションを開催します。

https://www.iwsec.org/ows/2018/index.htmlにプログラム内容と一般論文申し込みの詳細を載せていきますので、是非御確認下さい(ページは更新中です)。



セミナー情報

2018/11/05 19:00に、「2018年秋のBPFまつり」と題しまして、OSSセキュリティ技術の会 第四回勉強会を行います。

今回のテーマはBPF(Berkeley Packet Filter)になります。

https://secureoss-sig.connpass.com/event/103763/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

セミナー情報 2

2018/11/14 17:00に、「NGINX MeetUp Tokyo #1」を行います。

今回はNGINX .conf 2018 現地参加者より最新情報を共有させて頂きます。

https://nginx-mj.connpass.com/event/103617/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2018)

次へ

Linux Kernelの脆弱性情報(Medium: CVE-2018-18386)