巷では Amazon RDS リブート祭りになってますが、その原因となった MySQL の脆弱性とは何なのか。
Oracle のアドバイザリから、攻撃時の認証が不要となっていた9つの脆弱性をピックアップ。
| CVE | Base Score | 最悪の影響などの概要 |
|---|---|---|
| CVE-2014-6491 | 7.5 | MySQL Server での任意のコード実行を含んだ、MySQL Server の奪取 |
| CVE-2014-6500 | 7.5 | MySQL Server での任意のコード実行を含んだ、MySQL Server の奪取 |
| CVE-2014-0224 | 6.8 | 攻撃は難しい。いくつかの MySQL Server での update, insert, delete の実行、MySQL Server がアクセスできるデータの一部のリードアクセス、MySQL Server の部分的な DOS |
| CVE-2012-5615 | 5.0 | MySQL Server がアクセス可能なデータの一部へのリードアクセス |
| CVE-2014-6559 | 4.3 | 攻撃は難しい。MySQL Server がアクセス可能なデータ全てへのリードアクセス |
| CVE-2014-6494 | 4.3 | 攻撃は難しい。MySQL Server のハングアップや連続したクラッシュ(complete DOS) |
| CVE-2014-6496 | 4.3 | 攻撃は難しい。MySQL Server のハングアップや連続したクラッシュ(complete DOS) |
| CVE-2014-6495 | 4.3 | 攻撃は難しい。MySQL Server の連続したクラッシュ(complete DOS) |
| CVE-2014-6478 | 4.3 | 攻撃は難しい。MySQL Server がアクセスできるデータの一部への update, insert, delete |
