MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2020)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月21日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性( CVE-2020-8174 CVE-2020-14878 CVE-2020-13935 CVE-2020-1967 CVE-2020-14828 CVE-2020-14775 CVE-2020-14765 CVE-2020-14769 CVE-2020-14830 CVE-2020-14836 CVE-2020-14846 CVE-2020-14800 CVE-2020-14827 CVE-2020-14760 CVE-2020-1730 CVE-2020-14776 CVE-2020-14821 CVE-2020-14829 CVE-2020-14848 CVE-2020-14852 CVE-2020-14814 CVE-2020-14789 CVE-2020-14804 CVE-2020-14812 CVE-2020-14773 CVE-2020-14777 CVE-2020-14785 CVE-2020-14793 CVE-2020-14794 CVE-2020-14809 CVE-2020-14837 CVE-2020-14839 CVE-2020-14845 CVE-2020-14861 CVE-2020-14866 CVE-2020-14868 CVE-2020-14888 CVE-2020-14891 CVE-2020-14893 CVE-2020-14786 CVE-2020-14790 CVE-2020-14844 CVE-2020-14799 CVE-2020-14869 CVE-2020-14672 CVE-2020-14870 CVE-2020-14853 CVE-2020-14867 CVE-2020-14873 CVE-2020-14838 CVE-2020-14860 CVE-2020-14791 CVE-2020-14771)についてまとめてみます。




関連するCVE

CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2020-8174
    • 影響するバージョン:7.3.30 and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and prior
    • サブコンポーネント: Cluster: JS module (Node.js)
    • CVSS 3.0 Base Score 9.8
    • CVSS Vector: 元情報参照
  • CVE-2020-14878
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Security: LDAP Auth
    • CVSS 3.0 Base Score 8.0
    • CVSS Vector: 元情報参照
  • CVE-2020-13935
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Monitoring: General (Apache Tomcat)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
  • CVE-2020-1967
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Workbench: Security: Encryption (OpenSSL)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14828
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 7.2
    • CVSS Vector: 元情報参照
  • CVE-2020-14775
    • 影響するバージョン:5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14765
    • 影響するバージョン:5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: FTS
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14769
    • 影響するバージョン:5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14830
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14836
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14846
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14800
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14827
    • 影響するバージョン:5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: Security: LDAP Auth
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2020-14760
    • 影響するバージョン:5.7.31 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
  • CVE-2020-1730
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: MySQL Workbench (libssh)
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
  • CVE-2020-14776
    • 影響するバージョン:5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14821
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14829
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14848
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14852
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Charsets
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14814
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14789
    • 影響するバージョン:5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: FTS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14804
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: FTS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14812
    • 影響するバージョン:5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: Locking
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14773
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14777
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14785
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14793
    • 影響するバージョン:5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14794
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14809
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14837
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14839
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14845
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14861
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14866
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14868
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14888
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14891
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14893
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14786
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: PS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14790
    • 影響するバージョン:5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: PS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14844
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: PS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14799
    • 影響するバージョン:8.0.20 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14869
    • 影響するバージョン:5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: Security: LDAP Auth
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14672
    • 影響するバージョン:5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14870
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: X Plugin
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2020-14853
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Cluster: NDBCluster Plugin
    • CVSS 3.0 Base Score 4.6
    • CVSS Vector: 元情報参照
  • CVE-2020-14867
    • 影響するバージョン:5.6.49 and prior, 5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
  • CVE-2020-14873
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Logging
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
  • CVE-2020-14838
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 4.3
    • CVSS Vector: 元情報参照
  • CVE-2020-14860
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Security: Roles
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
  • CVE-2020-14791
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 2.2
    • CVSS Vector: 元情報参照
  • CVE-2020-14771
    • 影響するバージョン:5.7.31 and prior, 8.0.21 and prior
    • サブコンポーネント: Server: Security: LDAP Auth
    • CVSS 3.0 Base Score 2.2
    • CVSS Vector: 元情報参照

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。



セキュリティ系連載案内

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2020併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2020の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。

今年度はオンラインでの開催となります。奮ってのご投稿、お待ちしております。

https://www.iwsec.org/ows/2020/


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2020)

次へ

Sambaの複数の脆弱性情報(Medium: CVE-2020-14318, CVE-2020-14323, CVE-2020-14383 ) と修正バージョン(4.13.1, 4.12.9, 4.11.15)