rch850 の上澄み

技術的な話題とか、雑談とか。タイトルを上澄みに変えました @ 2020/09/02

2014年10月のMySQLセキュリティアップデート

巷では Amazon RDS リブート祭りになってますが、その原因となった MySQL脆弱性とは何なのか。

Oracle のアドバイザリから、攻撃時の認証が不要となっていた9つの脆弱性をピックアップ。

CVE Base Score 最悪の影響などの概要
CVE-2014-6491 7.5 MySQL Server での任意のコード実行を含んだ、MySQL Server の奪取
CVE-2014-6500 7.5 MySQL Server での任意のコード実行を含んだ、MySQL Server の奪取
CVE-2014-0224 6.8 攻撃は難しい。いくつかの MySQL Server での update, insert, delete の実行、MySQL Server がアクセスできるデータの一部のリードアクセス、MySQL Server の部分的な DOS
CVE-2012-5615 5.0 MySQL Server がアクセス可能なデータの一部へのリードアクセス
CVE-2014-6559 4.3 攻撃は難しい。MySQL Server がアクセス可能なデータ全てへのリードアクセス
CVE-2014-6494 4.3 攻撃は難しい。MySQL Server のハングアップや連続したクラッシュ(complete DOS
CVE-2014-6496 4.3 攻撃は難しい。MySQL Server のハングアップや連続したクラッシュ(complete DOS
CVE-2014-6495 4.3 攻撃は難しい。MySQL Server の連続したクラッシュ(complete DOS
CVE-2014-6478 4.3 攻撃は難しい。MySQL Server がアクセスできるデータの一部への update, insert, delete