MySQLの脆弱性(Oracle Critical Patch Update Advisory

こちらでは主にOSSの脆弱性を取り上げていきます。10月16日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2018-11776, CVE-2018-8014, CVE-2018-3258, CVE-2018-1258, CVE-2016-9843, CVE-2018-3155, CVE-2018-3143, CVE-2018-3156, CVE-2018-3251, CVE-2018-3182, CVE-2018-3137, CVE-2018-3203, CVE-2018-3133, CVE-2018-3145, CVE-2018-3144, CVE-2018-3185, CVE-2018-3195, CVE-2018-3247, CVE-2018-3187, CVE-2018-3174, CVE-2018-3171, CVE-2018-3277, CVE-2018-3162, CVE-2018-3173, CVE-2018-3200, CVE-2018-3170, CVE-2018-3212, CVE-2018-3280, CVE-2018-3276, CVE-2018-3186, CVE-2018-3161, CVE-2018-3278, CVE-2018-3279, CVE-2018-3282, CVE-2018-3285, CVE-2018-3284, CVE-2018-3283, CVE-2018-3286)についてまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

情報源

Oracle Critical Patch Update Advisory – October 2018

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2018-11776
- 影響するバージョン：3.4.9.4237 and prior, 4.0.6.5281 and prior, 8.0.2.8191 and prior
- サブコンポーネント: Monitoring: General (Apache Struts 2)
- CVSS 3.0 Base Score 9.8
- CVSS Vector: 元リンクを参照してください。
- Apache Strutsの脆弱性になります。
CVE-2018-8014
- 影響するバージョン：3.4.9.4237 and prior, 4.0.6.5281 and prior, 8.0.2.8191 and prior
- サブコンポーネント: Monitoring: General (Apache Tomcat)
- CVSS 3.0 Base Score 9.8
- CVSS Vector: 元リンクを参照してください。
- Tomcatの脆弱性です。
CVE-2018-3258
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Connector
- CVSS 3.0 Base Score 8.8
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- 簡単に悪用可能な脆弱性により、低い権限の攻撃者がネットワークを通して複数のプロトコルを用いてMySQLコネクタにアクセスし、侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLコネクタの権限を引き継ぐことが出来ます。
CVE-2018-1258
- 影響するバージョン：3.4.9.4237 and prior, 4.0.6.5281 and prior, 8.0.2.8191 and prior
- サブコンポーネント: Monitoring: General (Spring Framework)
- CVSS 3.0 Base Score 8.8
- CVSS Vector: 元リンクを参照してください。
- Spring Framework 5.0.5の脆弱性になります。
CVE-2016-9843
- 影響するバージョン：5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB (zlib)
- CVSS 3.0 Base Score 8.8
- CVSS Vector: 元リンクを参照してください。
- zlib の crc32.c の crc32_big 関数における脆弱性になります。
CVE-2018-3155
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Parser
- CVSS 3.0 Base Score 7.7
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3143
- 影響するバージョン：5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3156
- 影響するバージョン：5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3251
- 影響するバージョン：5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3182
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: DML
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3137
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3203
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3133
- 影響するバージョン：5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Parser
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3145
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Parser
- CVSS 3.0 Base Score 6.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3144
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Security: Audit
- CVSS 3.0 Base Score 5.9
- CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
- 悪用が難しい脆弱性により、権限の低い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功されると、非認証の攻撃者によりMySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3185
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 5.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
CVE-2018-3195
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: DDL
- CVSS 3.0 Base Score 5.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
CVE-2018-3247
- 影響するバージョン：5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Merge
- CVSS 3.0 Base Score 5.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
CVE-2018-3187
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 5.5
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
CVE-2018-3174
- 影響するバージョン：5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Client programs
- CVSS 3.0 Base Score 5.3
- CVSS Vector: CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H
- 悪用が難しい脆弱性により、権限の高い攻撃者がMySQLサーバを実行しているインフラにログオン出来る場合に、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3171
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Partition
- CVSS 3.0 Base Score 5.0
- CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H
- 悪用が難しい脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。
CVE-2018-3277
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3162
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3173
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3200
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3170
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: DDL
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3212
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Information Schema
- CVSS 3.0 Base Score 4.9
- CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3280
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: JSON
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3276
- 影響するバージョン：5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Memcached
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3186
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Optimizer
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3161
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Partition
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3278
- 影響するバージョン：5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: RBR
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3279
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Security: Roles
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3282
- 影響するバージョン：5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Storage Engines
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3285
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Windows
- CVSS 3.0 Base Score 4.9
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3284
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: InnoDB
- CVSS 3.0 Base Score 4.4
- CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3283
- 影響するバージョン：5.7.23 and prior, 8.0.12 and prior
- サブコンポーネント: Server: Logging
- CVSS 3.0 Base Score 4.4
- CVSS Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H
- 悪用が難しい脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
CVE-2018-3286
- 影響するバージョン：8.0.12 and prior
- サブコンポーネント: Server: Security: Privileges
- CVSS 3.0 Base Score 4.3
- CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
- 簡単に悪用可能な脆弱性により、権限の高い攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して承認されていないupdate/insert/deleteアクセスを行われる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

Debian

Red Hat Enterprise Linux/CentOS

SUSE

Ubuntu

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Oracle Critical Patch Update Advisory – October 2018

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。

セミナー情報 1

2018年10月22日から10月25日のCSS(Computer Security Symposium)2018で、「OSSセキュリティ技術ワークショップ(OWS) 2018特別セッション」と題しまして、OSSセキュリティ技術の会後援で特別セッションを開催します。

https://www.iwsec.org/ows/2018/index.htmlにプログラム内容と一般論文申し込みの詳細を載せていきますので、是非御確認下さい(ページは更新中です)。

セミナー情報

2018/11/05 19:00に、「2018年秋のBPFまつり」と題しまして、OSSセキュリティ技術の会　第四回勉強会を行います。

今回のテーマはBPF(Berkeley Packet Filter)になります。

https://secureoss-sig.connpass.com/event/103763/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

セミナー情報 2

2018/11/14 17:00に、「NGINX MeetUp Tokyo #1」を行います。

今回はNGINX .conf 2018 現地参加者より最新情報を共有させて頂きます。

https://nginx-mj.connpass.com/event/103617/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

MySQLの脆弱性(Oracle Critical Patch Update Advisory – Oct 2018)

関連するCVE

情報源