MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jan 2019)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

01/15/2019に四半期のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2018-10933, CVE-2019-2435, CVE-2018-0732, CVE-2019-2534, CVE-2019-2533, CVE-2019-2529, CVE-2019-2482, CVE-2019-2434, CVE-2019-2455, CVE-2019-2503, CVE-2019-2436, CVE-2018-0734, CVE-2019-2536, CVE-2019-2502, CVE-2019-2510, CVE-2019-2539, CVE-2019-2494, CVE-2019-2495, CVE-2019-2537, CVE-2019-2420, CVE-2019-2481, CVE-2019-2507, CVE-2019-2530, CVE-2019-2528, CVE-2019-2531, CVE-2019-2486, CVE-2019-2532, CVE-2019-2535, CVE-2019-2513, CVE-2018-0732)についてまとめてみます。



[関連リンク(最新5件)]

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2018)

MySQLの脆弱性(CVE-2017-5645, CVE-2017-0379, CVE-2018-3064, CVE-2018-0739, CVE-2018-0739, CVE-2018-3070, CVE-2018-3060, CVE-2018-3065, CVE-2018-0739, CVE-2018-3073, CVE-2018-0739, CVE-2018-3074, CVE-2018-3062, CVE-2018-3081, CVE-2018-3071, CVE-2018-3079, CVE-2018-3054, CVE-2018-3077, CVE-2018-3078, CVE-2018-3080, CVE-2018-3061, CVE-2018-3067, CVE-2018-3063, CVE-2018-3075, CVE-2018-3058, CVE-2018-3056, CVE-2018-2598, CVE-2018-3066, CVE-2018-2767, CVE-2018-3084, CVE-2018-3082)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) — | サイオスOSS | サイオステクノロジー

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jan 2018)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2017) — | サイオスOSS | サイオステクノロジー

CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2018-10933
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: MySQL Workbench (libssh)
    • CVSS 3.0 Base Score 9.1
    • CVSS Vector: 元情報参照
    • libsshの脆弱性になります。
  • CVE-2019-2435
    • 影響するバージョン:8.0.13 and prior, 2.1.8 and prior
    • サブコンポーネント: Connector/Python
    • CVSS 3.0 Base Score 8.1
    • CVSS Vector: 元情報参照
    • N/A
  • CVE-2018-0732
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: MySQL Workbench (OpenSSL)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性になります。
  • CVE-2019-2534
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 7.1
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、クリティカルなデータに認証されていないアクセスを行ったり、MySQLサーバがアクセスできる全てのデータに認証されずにupdate、inser、deleteを行われる可能性が有ります。
  • CVE-2019-2533
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server : Security : Privileges
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、クリティカルなデータやMySQLサーバがアクセスできる全てのデータに認証されずにcreate、delete、modificationを行われる可能性が有ります。
  • CVE-2019-2529
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2482
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: PS
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2434
    • 影響するバージョン:5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2455
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2503
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Connection Handling
    • CVSS 3.0 Base Score 6.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、クリティカルなデータやMySQLサーバがアクセスできる全てのデータに認証されずにアクセスしたり、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2436
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、クリティカルなデータやMySQLサーバがアクセスできる全てのデータに認証されずにupdate、insert、deleteのアクセスを行われたり、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2018-0734
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Packaging (OpenSSL)
    • CVSS 3.0 Base Score 5.1
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性です。
  • CVE-2019-2536
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server: Packaging
    • CVSS 3.0 Base Score 5.0
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限の攻撃者がMySQLサーバが実行されているインフラにログインして、MySQLサーバを侵害する可能性があります。この攻撃を成功させるには、脆弱性があるMySQLサーバで攻撃者以外の人間の操作が必要です。攻撃が成功すると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2502
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2510
    • 影響するバージョン:5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2539
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server: Connection
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2494
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2495
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2537
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2420
    • 影響するバージョン:5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2481
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2507
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2530
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2528
    • 影響するバージョン:5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Partition
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2531
    • 影響するバージョン:5.6.42 and prior, 5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2486
    • 影響するバージョン:5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2532
    • 影響するバージョン:5.7.24 and prior, 8.0.13 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限の攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2535
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Server: Options
    • CVSS 3.0 Base Score 4.1
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限の攻撃者がMySQLサーバが実行されているインフラにログインして、MySQLサーバを侵害する可能性があります。攻撃が成功すると、MySQLサーバのハングや頻繁なクラッシュ(DoS)を引き起こすことが可能です。
  • CVE-2019-2513
    • 影響するバージョン:8.0.13 and prior
    • サブコンポーネント: Shell
    • CVSS 3.0 Base Score 2.5
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、低い権限の攻撃者がMySQLサーバが実行されているインフラにログインして、MySQLサーバを侵害する可能性があります。この攻撃を成功させるには、脆弱性があるMySQLサーバで攻撃者以外の人間の操作が必要です。攻撃が成功すると、MySQLサーバのアクセスできるデータに認証の必要なくreadのアクセスが可能になります。
  • CVE-2018-0732
    • 影響するバージョン:8.0.13 and prior, 4.0.7 and prior
    • サブコンポーネント: Monitoring: General (OpenSSL)
    • CVSS 3.0 Base Score 0.0
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性になります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

前へ

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Jan 2019)

次へ

PowerDNS Recursorの複数の脆弱性情報(Low:CVE-2019-3806 , Medium:CVE-2019-3807)