MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2021)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

04月21日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性(CVE-2020-17530, CVE-2020-8277, CVE-2020-17527, CVE-2021-23841, CVE-2020-1971, CVE-2021-3449, CVE-2020-28196, CVE-2021-3450, CVE-2021-2144, CVE-2021-2172, CVE-2021-2298, CVE-2021-2178, CVE-2021-2202, CVE-2021-2307, CVE-2021-2304, CVE-2019-7317, CVE-2021-2180, CVE-2021-2194, CVE-2021-2154, CVE-2021-2166, CVE-2021-2196, CVE-2021-2300, CVE-2021-2305, CVE-2021-2179, CVE-2021-2226, CVE-2021-2160, CVE-2021-2164, CVE-2021-2169, CVE-2021-2170, CVE-2021-2193, CVE-2021-2203, CVE-2021-2212, CVE-2021-2213, CVE-2021-2278, CVE-2021-2299, CVE-2021-2230, CVE-2021-2146, CVE-2021-2201, CVE-2021-2208, CVE-2021-2215, CVE-2021-2217, CVE-2021-2293, CVE-2021-2174, CVE-2021-2171, CVE-2021-2162, CVE-2021-2301, CVE-2021-2308, CVE-2021-2232)についてまとめてみます。




CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2020-17530
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Monitoring: General (Apache Struts)
    • CVSS 3.0 Base Score 9.8
    • CVSS Vector: 元情報参照
    • Struts 2の脆弱性になります。
  • CVE-2020-8277
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Cluster: JS module (Node.js)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • Node.jsの脆弱性になります。
  • CVE-2020-17527
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Monitoring: General (Apache Tomcat)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • Apache Tomcatの脆弱性になります。
  • CVE-2021-23841
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Monitoring: General (OpenSSL)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性になります。
  • CVE-2020-1971
    • 影響するバージョン:5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: Server: Compiling (OpenSSL)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性になります。
  • CVE-2021-3449
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Packaging (OpenSSL)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性になります。
  • CVE-2020-28196
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Security: Encryption (MIT Kerberos)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • Kerberosの脆弱性になります。
  • CVE-2021-3450
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: MySQL Workbench (OpenSSL)
    • CVSS 3.0 Base Score 7.4
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性になります。
  • CVE-2021-2144
    • 影響するバージョン:5.7.29 and prior, 8.0.19 and prior
    • サブコンポーネント: Server: Parser
    • CVSS 3.0 Base Score 7.2
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2172
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2298
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2178
    • 影響するバージョン:5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2202
    • 影響するバージョン:5.7.32 and prior, 8.0.22 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2021-2307
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Packaging
    • CVSS 3.0 Base Score 6.1
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2304
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2019-7317
  • CVE-2021-2180
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2194
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2154
    • 影響するバージョン:5.7.33 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2166
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2196
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2300
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2305
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2179
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Group Replication Plugin
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2226
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Information Schema
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2160
    • 影響するバージョン:5.7.30 and prior, 8.0.17 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2164
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2169
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2170
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2193
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2203
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2212
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2213
    • 影響するバージョン:8.0.22 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2278
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2299
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2230
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2146
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Options
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2201
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Partition
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2208
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Partition
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2215
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2217
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2293
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2174
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2171
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2162
    • 影響するバージョン:5.7.33 and prior, 8.0.23 and prior
    • サブコンポーネント: Server: Audit Plug-in
    • CVSS 3.0 Base Score 4.3
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2301
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Information Schema
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2308
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Information Schema
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。
  • CVE-2021-2232
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Group Replication Plugin
    • CVSS 3.0 Base Score 1.9
    • CVSS Vector: 元情報参照
    • 詳細は分かり次第更新します。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。



セキュリティ系連載案内

CM

こちらで小学生の勉強支援サイトをオープンしました。算数のプリント(都度、自動生成)が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Apr 2021)

次へ

(SAML第4回:最終回) GoogleをIdPとして使用してApache+mod_auth_mellonを繋げてみる