MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jul 2019)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

7月16日(現地時間)に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2019-3822, CVE-2018-15756, CVE-2019-2822, CVE-2019-2800, CVE-2019-2795, CVE-2019-2746, CVE-2019-2812, CVE-2019-2834, CVE-2019-2805, CVE-2019-2740, CVE-2019-1559, CVE-2019-2758, CVE-2019-2819, CVE-2019-2731, CVE-2019-2778, CVE-2019-2741, CVE-2019-2743, CVE-2019-2739, CVE-2019-2785, CVE-2019-2798, CVE-2019-2879, CVE-2019-2737, CVE-2019-2780, CVE-2019-2784, CVE-2019-2801, CVE-2019-2747, CVE-2019-2757, CVE-2019-2774, CVE-2019-2796, CVE-2019-2802, CVE-2019-2803, CVE-2019-2808, CVE-2019-2810, CVE-2019-2815, CVE-2019-2830, CVE-2019-2752, CVE-2019-2755, CVE-2019-2811, CVE-2019-2826, CVE-2019-2797, CVE-2019-2791, CVE-2019-2738, CVE-2019-2730, CVE-2019-2789, CVE-2019-2814)についてまとめてみます。



MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jan 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2018)

MySQLの脆弱性(CVE-2017-5645, CVE-2017-0379, CVE-2018-3064, CVE-2018-0739, CVE-2018-0739, CVE-2018-3070, CVE-2018-3060, CVE-2018-3065, CVE-2018-0739, CVE-2018-3073, CVE-2018-0739, CVE-2018-3074, CVE-2018-3062, CVE-2018-3081, CVE-2018-3071, CVE-2018-3079, CVE-2018-3054, CVE-2018-3077, CVE-2018-3078, CVE-2018-3080, CVE-2018-3061, CVE-2018-3067, CVE-2018-3063, CVE-2018-3075, CVE-2018-3058, CVE-2018-3056, CVE-2018-2598, CVE-2018-3066, CVE-2018-2767, CVE-2018-3084, CVE-2018-3082)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) — | サイオスOSS | サイオステクノロジー

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jan 2018)

CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2019-3822
  • CVE-2018-15756
  • CVE-2019-2822
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Shell: Admin - InnoDB Cluster
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2800
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 7.1
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2795
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Charsets
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2746
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Data Dictionary
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2812
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2834
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2805
    • 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2740
    • 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: XML
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-1559
  • CVE-2019-2758
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2819
    • 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Security: Audit
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2731
    • 影響するバージョン:5.7.23 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 5.4
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2778
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 5.4
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2741
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Audit Log
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2743
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: Security: Roles
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2739
    • 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 5.1
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2785
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2798
    • 影響するバージョン:8.0.15 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2879
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2737
    • 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server : Pluggable Auth
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2780
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Components - Services
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2784
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2801
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: FTS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2747
    • 影響するバージョン:8.0.12 and prior
    • サブコンポーネント: Server: GIS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2757
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2774
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2796
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2802
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2803
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2808
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2810
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2815
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2830
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2752
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Options
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2755
    • 影響するバージョン:5.7.25 and prior, 8.0.15 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2811
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2826
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Security: Roles
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2797
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Client programs
    • CVSS 3.0 Base Score 4.2
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2791
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Audit Plug-in
    • CVSS 3.0 Base Score 3.8
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2738
    • 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server : Compiling
    • CVSS 3.0 Base Score 3.1
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2730
    • 影響するバージョン:5.6.44 and prior, 5.7.18 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2789
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。
  • CVE-2019-2814
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 2.2
    • CVSS Vector: 元情報参照
    • 情報が分かり次第更新します。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。



セキュリティ系連載案内


セミナー情報1

Keycloakの初のコミュニティイベント「Keyconf19」がイギリスにて開催され、日本からも日立の乗松さんが参加・発表され、メンテナとコアな議論をしてきたので、2019/07/19(金) 18:45 〜 20:00 に『OSSセキュリティ技術の会 Keycloakミニ勉強会(副題:Keyconf19で日英クロスボンバーの巻)』と題してkeyconf19の報告会+αを開催することになりました。

Keycloakメンテナからのお土産のステッカーも人数限定であります!

https://secureoss-sig.connpass.com/event/136512/にて申し込みを行っております。奮ってご参加ください。

セミナー情報2

2019/07/31 10:00-17:00で開催される、一般社団法人 日本情報システム・ユーザ協会(JUAS)様による有料ハンズオンセミナー「ハンズオンで学ぶ!クラウド時代の運用管理とセキュリティ対策 」にて当ブログの筆者「面 和毅」が講師を努めます。

本セミナーでは、大手ベンダーや外資系企業、ユーザー企業などでセキュリティの専門家として20年以上の経験を持ち、現在、セキュリティエバンジェリストとして活躍する講師が実体験を交えながら、クラウド上のサーバーを安価に守る方法を、演習をまじえ、具体的にお伝えします。

https://juasseminar.jp/seminars/view/4119290にて申し込みを行っております。奮ってご参加ください。

セミナー情報3

2019/07/23 18:30-20:30で、「再演「やってはイケナイ」をやってみよう」セミナーを行います。

このセミナーは前回の「「やってはイケナイ」をやってみよう」セミナーの再演で、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。

https://sios.connpass.com/event/134622/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

libssh2の脆弱性情報(Moderate: CVE-2019-13115)

次へ

Linux Kernelの脆弱性情報(Important: CVE-2019-13272)