MySQLの脆弱性(Oracle Critical Patch Update Advisory - Oct 2021)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月19日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性についてまとめてみます。

関連するCVEは CVE-2021-22931 CVE-2021-3711 CVE-2021-22112 CVE-2021-3518 CVE-2021-22118 CVE-2021-22926 CVE-2021-36222 CVE-2021-35583 CVE-2021-35610 CVE-2021-3712 CVE-2021-35597 CVE-2021-35607 CVE-2021-2481 CVE-2021-35590 CVE-2021-35592 CVE-2021-35593 CVE-2021-35594 CVE-2021-35598 CVE-2021-35621 CVE-2021-2471 CVE-2021-35604 CVE-2021-35612 CVE-2021-20227 CVE-2021-33037 CVE-2021-29425 CVE-2021-35608 CVE-2021-35602 CVE-2021-35577 CVE-2021-2478 CVE-2021-2479 CVE-2021-35537 CVE-2021-35591 CVE-2021-35596 CVE-2021-35648 CVE-2021-35631 CVE-2021-35626 CVE-2021-35627 CVE-2021-35628 CVE-2021-35629 CVE-2021-35575 CVE-2021-35634 CVE-2021-35635 CVE-2021-35636 CVE-2021-35638 CVE-2021-35641 CVE-2021-35642 CVE-2021-35643 CVE-2021-35644 CVE-2021-35645 CVE-2021-35646 CVE-2021-35647 CVE-2021-35630 CVE-2021-35637 CVE-2021-35546 CVE-2021-35622 CVE-2021-35624 CVE-2021-35639 CVE-2021-35632 CVE-2021-35584 CVE-2021-35613 CVE-2021-35640 CVE-2021-35633 CVE-2021-35625 CVE-2021-35623 CVE-2021-35618 です。




関連するCVE

CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2021-22931
  • CVE-2021-3711
  • CVE-2021-22112
  • CVE-2021-3518
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: MySQL Workbench (libxml2)
    • CVSS 3.0 Base Score 8.8
    • CVSS Vector: 元情報参照
  • CVE-2021-22118
  • CVE-2021-22926
  • CVE-2021-36222
  • CVE-2021-35583
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Windows
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-3712
  • CVE-2021-35610
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 7.1
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、非認証のアップデート、MySQLサーバがアクセスできるデータのinsert/deleteを実行される可能性があります。
  • CVE-2021-3712
  • CVE-2021-35597
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: C API
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLクライアントを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLクライアントをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35607
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2481
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
    • CVSS Vector: 元情報参照
  • CVE-2021-35590
    • 影響するバージョン:7.4.33 and prior, 7.5.23 and prior, 7.6.19 and prior, 8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が物理的な接続を通して用してMySQLクラスタに対し、MySQLクラスタを侵害する可能性があります。この脆弱性の成功には攻撃者以外の人間の操作が必要になります。この脆弱性の攻撃を成功させると、MySQLクラスタを乗っ取ることが出来ます。
  • CVE-2021-35592
    • 影響するバージョン:7.5.23 and prior, 7.6.19 and prior, 8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が物理的な接続を通して用してMySQLクラスタに対し、MySQLクラスタを侵害する可能性があります。この脆弱性の成功には攻撃者以外の人間の操作が必要になります。この脆弱性の攻撃を成功させると、MySQLクラスタを乗っ取ることが出来ます。
  • CVE-2021-35593
    • 影響するバージョン:7.4.33 and prior, 7.5.23 and prior, 7.6.19 and prior, 8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が物理的な接続を通して用してMySQLクラスタに対し、MySQLクラスタを侵害する可能性があります。この脆弱性の成功には攻撃者以外の人間の操作が必要になります。この脆弱性の攻撃を成功させると、MySQLクラスタを乗っ取ることが出来ます。
  • CVE-2021-35594
    • 影響するバージョン:7.4.33 and prior, 7.5.23 and prior, 7.6.19 and prior, 8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が物理的な接続を通して用してMySQLクラスタに対し、MySQLクラスタを侵害する可能性があります。この脆弱性の成功には攻撃者以外の人間の操作が必要になります。この脆弱性の攻撃を成功させると、MySQLクラスタを乗っ取ることが出来ます。
  • CVE-2021-35598
    • 影響するバージョン:7.4.33 and prior, 7.5.23 and prior, 7.6.19 and prior, 8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が物理的な接続を通して用してMySQLクラスタに対し、MySQLクラスタを侵害する可能性があります。この脆弱性の成功には攻撃者以外の人間の操作が必要になります。この脆弱性の攻撃を成功させると、MySQLクラスタを乗っ取ることが出来ます。
  • CVE-2021-35621
    • 影響するバージョン:7.4.33 and prior, 7.5.23 and prior, 7.6.19 and prior, 8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が物理的な接続を通して用してMySQLクラスタに対し、MySQLクラスタを侵害する可能性があります。この脆弱性の成功には攻撃者以外の人間の操作が必要になります。この脆弱性の攻撃を成功させると、MySQLクラスタを乗っ取ることが出来ます。
  • CVE-2021-2471
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Connector/J
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が複数のプロトコルを通して接続できるMySQLコネクタに対し、MySQLコネクタを侵害する可能性があります。この脆弱性の攻撃を成功させると、MySQLコネクタがアクセスできる範囲のデータに対してアクセスできたり、周期的なクラッシュ(DoS)を引き起こすことができる可能性があります。
  • CVE-2021-35604
    • 影響するバージョン:5.7.35 and prior, 8.0.26 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35612
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こす、非認証のアップデート、MySQLサーバがアクセスできるデータのinsert/deleteを実行される可能性があります。
  • CVE-2021-20227
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: MySQL Workbench (SQLite)
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
    • SQLいてのSELECTクエリ実装(src/select.c)に問題がみつかりました。これにより、SQLiteデータベースにSQLクエリを実行させられるローカルの人間がDoSやuse-after-freeの脆弱性を引き起こすことが可能になります。
  • CVE-2021-33037
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Monitoring: General (Apache Tomcat)
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
    • Apache Tomcatの脆弱性になります。
  • CVE-2021-29425
  • CVE-2021-35608
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Group Replication Plugin
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35602
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Options
    • CVSS 3.0 Base Score 5.0
    • CVSS Vector: 元情報参照
    • 悪用が難しい脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35577
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2478
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-2479
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35537
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35591
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: DML
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35596
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Error Handling
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35648
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: FTS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35631
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: GIS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35626
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35627
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35628
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35629
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35575
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35634
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35635
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35636
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35638
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35641
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35642
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35643
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35644
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2021-35645
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35646
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35647
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35630
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Options
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35637
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: PS
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35546
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Replication
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35622
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用が出来る脆弱性により、高い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバをハングさせたり頻繁にクラッシュ(DoS)を引き起こされる可能性があります。
  • CVE-2021-35624
    • 影響するバージョン:5.7.35 and prior, 8.0.26 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバアクセスできるデータのinsert/deleteを実行される可能性があります。
  • CVE-2021-35639
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバアクセスできるデータのinsert/deleteを実行される可能性があります。
  • CVE-2021-35632
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Data Dictionary
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、DoSを引き起こすことが可能になります。
  • CVE-2021-35584
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Cluster: ndbcluster/plugin DDL
    • CVSS 3.0 Base Score 4.3
    • CVSS Vector: 元情報参照
  • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、DoSを引き起こすことが可能になります。
  • CVE-2021-35613
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 3.7
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLコミュニティを侵害する可能性があります。 この脆弱性の攻撃を成功させると、DoSを引き起こすことが可能になります。
  • CVE-2021-35640
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: DDL
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLコミュニティを侵害する可能性があります。 この脆弱性の攻撃を成功させると、非認証のUpdateや、MySQLの:wRemoteDoSを引き起こすことが可能になります。
  • CVE-2021-35633
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Logging
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLコミュニティを侵害する可能性があります。 この脆弱性の攻撃を成功させると、DoSを引き起こすことが可能になります。
  • CVE-2021-35625
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Security: Privileges
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、低い特権レベルの攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLコミュニティを侵害する可能性があります。 この脆弱性の攻撃を成功させると、DoSを引き起こすことが可能になります。
  • CVE-2021-35623
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Server: Security: Roles
    • CVSS 3.0 Base Score 2.7
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバユーザが非認証でMySQLサーバがアクセス可能な領域に読み込み権限でアクセスできるようになってしまう可能性があります。
  • CVE-2021-35618
    • 影響するバージョン:8.0.26 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 1.8
    • CVSS Vector: 元情報参照
    • 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコル用してネットワークにアクセスし、MySQLサーバを侵害する可能性があります。 この脆弱性の攻撃を成功させると、MySQLサーバユーザが非認証でMySQLサーバがアクセス可能な領域に読み込み権限でアクセスできるようになってしまう可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。



セキュリティ系連載案内

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2021併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2021の企画講演セッション及び、 一般論文セッションをさせていただきます。

今年もオンラインでの開催となり、OWSトラックの一般論文セッションと企画セッションを行いますので,ご参加よろしくお願いいたします。

https://www.iwsec.org/ows/2021/


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

【脅威インテリジェンス】第一回 MISPのインストール

次へ

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2021)