MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jul 2021)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

07月20日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性(CVE-2021-22884, CVE-2021-22901, CVE-2021-25122, CVE-2019-17543, CVE-2021-3450, CVE-2021-2417, CVE-2021-2389, CVE-2021-2390, CVE-2021-2429, CVE-2021-2356, CVE-2021-2385, CVE-2021-2339, CVE-2021-2352, CVE-2021-2399, CVE-2021-2370, CVE-2021-2440, CVE-2021-2354, CVE-2021-2402, CVE-2021-2342, CVE-2021-2357, CVE-2021-2367, CVE-2021-2412, CVE-2021-2383, CVE-2021-2384, CVE-2021-2387, CVE-2021-2444, CVE-2021-2410, CVE-2021-2418, CVE-2021-2425, CVE-2021-2426, CVE-2021-2427, CVE-2021-2437, CVE-2021-2441, CVE-2021-2422, CVE-2021-2424, CVE-2021-2372, CVE-2021-2374, CVE-2021-2411, CVE-2021-2340)についてまとめてみます。




CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2021-22884
  • CVE-2021-22901
  • CVE-2021-25122
  • CVE-2019-17543
  • CVE-2021-3450
  • CVE-2021-2417
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: GIS
    • CVSS 3.0 Base Score 6.0
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して認証されていないupdate, insert, delete, read アクセスをされる可能性があります。
  • CVE-2021-2389
    • 影響するバージョン:5.7.34 and prior, 8.0.25 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、非認証の攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2390
    • 影響するバージョン:5.7.34 and prior, 8.0.25 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、非認証の攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2429
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、非認証の攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2356
    • 影響するバージョン:5.7.34 and prior, 8.0.25 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、低い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して認証されていないupdate, insert, delete, read アクセスをされる可能性があります。
  • CVE-2021-2385
    • 影響するバージョン:5.7.34 and prior, 8.0.25 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 5.0
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、またMySQLサーバがアクセスできるデータに対して認証されていないupdate, insert, delete, read アクセスをされる可能性があります。
  • CVE-2021-2339
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2352
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2399
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2370
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2440
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2354
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Federated
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2402
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Locking
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2342
    • 影響するバージョン:5.7.34 and prior, 8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2357
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2367
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2412
    • 影響するバージョン:8.0.21 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2383
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2384
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2387
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2444
    • 影響するバージョン:8.0.23 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2410
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2418
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2425
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2426
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2427
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2437
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2441
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2422
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: PS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2424
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2372
    • 影響するバージョン:5.7.34 and prior, 8.0.25 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2374
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.1
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、重要なデータへの非認証のアクセスや、MySQLサーバがアクセス可能なデータに対して完全なアクセスができる可能性があります。
  • CVE-2021-2411
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Cluster: JS module
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLクラスタを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLクラスタにDoSを引き起こされる可能性があります。
  • CVE-2021-2340
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Memcached
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを用いてネットワークにアクセスし、MySQLサーバを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLサーバにDoSを引き起こされる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内

CM

こちらで小学生の勉強支援サイトをオープンしました。算数のプリント(都度、自動生成)が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Jul 2021)

次へ

Linux Kernelの脆弱性(Moderate: CVE-2021-29657)