MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jul 2022)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

07月19日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性(CVE-2021-31805 CVE-2022-1292 CVE-2022-21824 CVE-2022-27778 CVE-2021-22119 CVE-2018-25032 CVE-2022-23308 CVE-2020-26237 CVE-2022-21556 CVE-2022-21569 CVE-2022-21550 CVE-2022-21519 CVE-2022-21527 CVE-2022-21528 CVE-2022-21509 CVE-2022-22968 CVE-2022-21539 CVE-2022-21517 CVE-2022-21537 CVE-2022-21547 CVE-2022-21525 CVE-2022-21526 CVE-2022-21529 CVE-2022-21530 CVE-2022-21531 CVE-2022-21553 CVE-2022-21515 CVE-2022-21455 CVE-2022-21534 CVE-2022-21522 CVE-2022-21555 CVE-2022-21538 CVE-2022-21535 )についてまとめてみます。




CVE概要(詳細はCVEのサイトをご確認ください)


  • CVE-2021-31805
    • 影響するバージョン:8.0.30 and prior
    • サブコンポーネント: Monitoring: General (Apache Struts)
    • CVSS 3.0 Base Score 9.8
    • CVSS Vector: 元情報参照
    • Apache Struts2の脆弱性になります。
  • CVE-2022-1292
    • 影響するバージョン:5.7.38 and prior, 8.0.29 and prior
    • サブコンポーネント: Server: Packaging (OpenSSL)
    • CVSS 3.0 Base Score 9.8
    • CVSS Vector: 元情報参照
    • OpenSSLの脆弱性になります。
  • CVE-2022-21824
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Cluster: General (Node.js)
    • CVSS 3.0 Base Score 8.2
    • CVSS Vector: 元情報参照
    • Node.jsの脆弱性になります。
  • CVE-2022-27778
    • 影響するバージョン:5.7.38 and prior, 8.0.29 and prior
    • サブコンポーネント: Server: Packaging (cURL)
    • CVSS 3.0 Base Score 8.1
    • CVSS Vector: 元情報参照
    • curlの脆弱性になります。
  • CVE-2021-22119
    • 影響するバージョン:8.0.25 and prior
    • サブコンポーネント: Monitoring: General (Spring Security)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • Spring Securityの脆弱性になります。
  • CVE-2018-25032
    • 影響するバージョン:5.7.38 and prior, 8.0.29 and prior
    • サブコンポーネント: Server: Compiling (zlib)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • zlibの脆弱性になります。
  • CVE-2022-23308
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Workbench (libxml2)
    • CVSS 3.0 Base Score 7.5
    • CVSS Vector: 元情報参照
    • libxml2の脆弱性になります。
  • CVE-2020-26237
    • 影響するバージョン:8.0.30 and prior
    • サブコンポーネント: Monitoring: General (highlight.js)
    • CVSS 3.0 Base Score 6.8
    • CVSS Vector: 元情報参照
    • Higjlight.jsの脆弱性になります。
  • CVE-2022-21556
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2022-21569
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 6.5
    • CVSS Vector: 元情報参照
  • CVE-2022-21550
    • 影響するバージョン:7.4.36 and prior,7.5.26 and prior, 7.6.22 and prior, and 8.0.29 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 6.3
    • CVSS Vector: 元情報参照
  • CVE-2022-21519
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Cluster: General
    • CVSS 3.0 Base Score 5.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21527
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
  • CVE-2022-21528
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
  • CVE-2022-21509
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 5.5
    • CVSS Vector: 元情報参照
  • CVE-2022-22968
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Service Manager (Spring Framework)
    • CVSS 3.0 Base Score 5.3
    • CVSS Vector: 元情報参照
  • CVE-2022-21539
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 5.0
    • CVSS Vector: 元情報参照
  • CVE-2022-21517
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21537
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: InnoDB
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21547
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Federated
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21525
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21526
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21529
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21530
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21531
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21553
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Optimizer
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21515
    • 影響するバージョン:5.7.38 and prior, 8.0.29 and prior
    • サブコンポーネント: Server: Options
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21455
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Server: PAM Auth Plugin
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21534
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.9
    • CVSS Vector: 元情報参照
  • CVE-2022-21522
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Stored Procedure
    • CVSS 3.0 Base Score 4.4
    • CVSS Vector: 元情報参照
  • CVE-2022-21555
    • 影響するバージョン:1.1.8 and prior
    • サブコンポーネント: Shell: GUI
    • CVSS 3.0 Base Score 4.2
    • CVSS Vector: 元情報参照
  • CVE-2022-21538
    • 影響するバージョン:8.0.29 and prior
    • サブコンポーネント: Server: Security: Encryption
    • CVSS 3.0 Base Score 3.1
    • CVSS Vector: 元情報参照
  • CVE-2022-21535
    • 影響するバージョン:8.0.28 and prior
    • サブコンポーネント: Shell: General/Core Client
    • CVSS 3.0 Base Score 2.5
    • CVSS Vector: 元情報参照

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

セミナー情報1

2022/06/24にこちらのセミナーで「最近の状況を鑑みた脆弱性対策の重要性について」として2022-Q1の脆弱性の情報を入れながら、脆弱性対策についてお話します。ご興味がありましたらぜひご参加下さい。

前へ

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Jul 2022)

次へ

Linux Kernelの脆弱性(CVE-2022-36946 )