MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2019)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月16日に月例のOracle の脆弱性が公開されました。今回はこの中のMySQLの脆弱性(CVE-2019-8457, CVE-2019-5443, CVE-2019-10072, CVE-2019-1543, CVE-2019-3011, CVE-2019-2966, CVE-2019-2967, CVE-2019-2974, CVE-2019-2946, CVE-2019-3004, CVE-2019-2914, CVE-2019-2969, CVE-2019-2991, CVE-2019-2920, CVE-2019-2993, CVE-2019-2922, CVE-2019-2923, CVE-2019-2924, CVE-2019-1549, CVE-2019-2963, CVE-2019-2968, CVE-2019-3003, CVE-2019-2997, CVE-2019-2948, CVE-2019-2950, CVE-2019-2982, CVE-2019-2998, CVE-2019-2960, CVE-2019-2957, CVE-2019-2938, CVE-2019-3018, CVE-2019-3009, CVE-2019-2910, CVE-2019-2911)についてまとめてみます。



MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jul 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jan 2019)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2018)

MySQLの脆弱性(CVE-2017-5645, CVE-2017-0379, CVE-2018-3064, CVE-2018-0739, CVE-2018-0739, CVE-2018-3070, CVE-2018-3060, CVE-2018-3065, CVE-2018-0739, CVE-2018-3073, CVE-2018-0739, CVE-2018-3074, CVE-2018-3062, CVE-2018-3081, CVE-2018-3071, CVE-2018-3079, CVE-2018-3054, CVE-2018-3077, CVE-2018-3078, CVE-2018-3080, CVE-2018-3061, CVE-2018-3067, CVE-2018-3063, CVE-2018-3075, CVE-2018-3058, CVE-2018-3056, CVE-2018-2598, CVE-2018-3066, CVE-2018-2767, CVE-2018-3084, CVE-2018-3082)

MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) — | サイオスOSS | サイオステクノロジー

CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2019-8457
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: MySQL Workbench (SQLite)
    • CVSS 3.0 Base Score 9.8
    • CVSS Vector: 元情報参照
    • SQLite3 には、境界外読み取りに関する脆弱性が存在します。
  • CVE-2019-5443
    • 影響するバージョン:5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: Compiling (cURL)
    • CVSS 3.0 Base Score 7.8
    • CVSS Vector: 元情報参照
    • curlにはコードインジェクション攻撃を成功させるバグが存在します。
  • CVE-2019-10072
  • CVE-2019-1543
  • CVE-2019-3011
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: C API
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2019-2966
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2019-2967
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2019-2974
    • 影響するバージョン:5.6.45 and prior, 5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2019-2946
    • 影響するバージョン:5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: PS
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2019-3004
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2019-2914
    • 影響するバージョン:5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2019-2969
    • 影響するバージョン:5.6.44 and prior, 5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Client programs
    • CVSS 3.0 Base Score 6.2
    • CVSS Vector: 元情報参照
  • CVE-2019-2991
    • 影響するバージョン:8.017 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
  • CVE-2019-2920
    • 影響するバージョン:5.3.13 and prior, 8.0.17 and prior
    • サブコンポーネント: Connector/ODBC
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
  • CVE-2019-2993
    • 影響するバージョン:5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: C API
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
  • CVE-2019-2922
    • 影響するバージョン:5.6.45 and prior, 5.7.27 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
  • CVE-2019-2923
    • 影響するバージョン:5.6.45 and prior, 5.7.27 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
  • CVE-2019-2924
    • 影響するバージョン:5.6.45 and prior, 5.7.27 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
  • CVE-2019-1549
  • CVE-2019-2963
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2968
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-3003
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2997
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2948
    • 影響するバージョン:5.7.26 and prior, 8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2950
    • 影響するバージョン:8.0.16 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2982
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2998
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2960
    • 影響するバージョン:5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2957
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2019-2938
    • 影響するバージョン:5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
  • CVE-2019-3018
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
  • CVE-2019-3009
    • 影響するバージョン:8.0.17 and prior
    • サブコンポーネント: Server: Connection
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
  • CVE-2019-2910
    • 影響するバージョン:5.6.45 and prior, 5.7.27 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
  • CVE-2019-2911
    • 影響するバージョン:5.6.45 and prior, 5.7.27 and prior, 8.0.17 and prior
    • サブコンポーネント: Information Schema
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。



セキュリティ系連載案内

セミナー情報1

2019/10/29(火) 18:30-20:30に「「やってはイケナイ」をやってみよう 第3弾_in 大阪 」と題しましたセミナーを開催します。このセミナーでは、実際に色々な「やってはイケナイ」をデモを交えて行い、実際にどのような問題が発生するのかを確認し、その様な万が一の場合を防ぐために行っておくべき対策を紹介していきます。

また、(ゲリラ的にOSSセキュリティ技術の会の所属としてですが)先日サンディエゴで開催されましたLinux Security Summit 2019の情報共有も行う予定です。

プログラム内容と申し込みの詳細につきましては、https://sios.connpass.com/event/148268/をご覧下さい。

皆様の申込みをお待ちしております。


セミナー情報2

コンピュータセキュリティシンポジウム2019(長崎)が2019年10月21日(月) ~ 10月24日(木)で開催されます。

こちらですが、OSSセキュリティ技術の会も後援になっており、オープンソースソフトウェア(OSS)セキュリティ技術トラック(略称:OWSトラック) も用意しております。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2019)

次へ

BINDの脆弱性情報(Medium: CVE-2019-6475, CVE-2019-6476)