【2024年10月版】MySQLの脆弱性情報一覧

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年10月1日に本記事を執筆しています。

今回はMySQLの脆弱性情報一覧を公開してみたいと思います。

MySQLはオラクル社がサポートをしているオープンソースのリレーショナルデータベース管理システム(RDBMS)です。
MySQLについては、別記事「MySQLのバージョン情報とサポート期限」にて言葉の定義などを記載していますのでご参照いただけますと幸いです。

本記事からリンクを貼っているJVNサイトなどでは「MySQL Server」という呼称が出てきますが、本記事では、前述の別記事で記載されている「MySQL Database」と同じものだと思っていただいても大丈夫です(本記事ではMySQL DatabaseのうちMySQL Serverに関して記載しております)。

安全で円滑なWebサイトの運用のためには、MySQLについても最新バージョンへとアップデートする必要があります。

そこで、この記事ではMySQLの脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているMySQLの脆弱性を簡単に把握できるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

MySQLの脆弱性に関するポイント

本記事におけるMySQLとはMySQL Databaseのことを指しています。

2024年10月現在、MySQLの公式がセキュリティサポートをしているバージョンは、8.0, 8.4の2系統のみです。

MySQLのバージョン8.0系統の場合には、CVSS v3にて重要(7.0~8.9)に区分される脆弱性が、かなり多く発見されています。
最新のパッチバージョンにアップデートすれば修正されますので、ご利用になられているバージョンをご確認ください。

MySQLの脆弱性情報一覧

MySQL の脆弱性情報については、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)に区分されるもののみを掲載します。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン

CVE-2023-21980
JVNDB-2023-001674

CVSS v3
7.1 (重要)
・MySQL 8.0.0から8.0.32
・MySQL 5.7.0から5.7.41
・MySQL 8.0.33
・MySQL 5.7.42

CVE-2023-21912
JVNDB-2023-001703

CVSS v3
7.5 (重要)
・MySQL 8.0.0から8.0.30
・MySQL 5.7.0から5.7.41
・MySQL 8.0.31
・MySQL 5.7.42

CVE-2022-21600
JVNDB-2022-002606

CVSS v3
7.2 (重要)
・MySQL 8.0.0から8.0.27 ・MySQL 8.0.28

CVE-2022-21351
JVNDB-2022-001197

CVSS v3
7.1 (重要)
・MySQL 8.0.0から8.0.27 ・MySQL 8.0.28

CVE-2022-21278
JVNDB-2022-001274

CVSS v3
7.1 (重要)
・MySQL 8.0.0から8.0.26 ・MySQL 8.0.27

CVE-2021-35583
JVNDB-2021-003543

CVSS v3
7.5 (重要)
・MySQL 8.0.0から8.0.25 ・MySQL 8.0.26

CVE-2021-35610
JVNDB-2021-003499

CVSS v3
7.1 (重要)
・MySQL 8.0.0から8.0.26 ・MySQL 8.0.27

CVE-2021-2144
JVNDB-2021-001689

CVSS v3
7.2 (重要)
・MySQL 8.0.0から8.0.19
・MySQL 5.7.0から5.7.29
・MySQL 8.0.20
・MySQL 5.7.30

CVE-2020-14878
JVNDB-2020-009784

CVSS v3
8.0 (重要)
・MySQL 8.0.0から8.0.21 ・MySQL 8.0.22

CVE-2020-14828
JVNDB-2020-009849

CVSS v3
7.2 (重要)
・MySQL 8.0.0から8.0.21 ・MySQL 8.0.22

CVE-2020-14678
JVNDB-2020-007981

CVSS v3
7.2 (重要)
・MySQL 8.0.0から8.0.20 ・MySQL 8.0.21

CVE-2020-14697
JVNDB-2020-007952

CVSS v3
7.2 (重要)
・MySQL 8.0.0から8.0.20 ・MySQL 8.0.21

CVE-2020-14663
JVNDB-2020-007973

CVSS v3
7.2 (重要)
・MySQL 8.0.0から8.0.20 ・MySQL 8.0.21

CVE-2019-2822
JVNDB-2019-006687

CVSS v3
7.5 (重要)
・MySQL 8.0.0から8.0.16 ・MySQL 8.0.17

CVE-2019-2800
JVNDB-2019-006744

CVSS v3
7.1 (重要)
・MySQL 8.0.0から8.0.16 ・MySQL 8.0.17

CVE-2019-2632
JVNDB-2019-003736

CVSS v3
7.5 (重要)
・MySQL 8.0.0から8.0.15
・MySQL 5.7.0から5.7.25
・MySQL 8.0.16
・MySQL 5.7.26

CVE-2019-2534
JVNDB-2019-001063

CVSS v3
7.1 (重要)
・MySQL 8.0.0から8.0.13
・MySQL 5.7.0から5.7.24
・MySQL 5.6.0から5.6.42
・MySQL 8.0.14
・MySQL 5.7.25
・MySQL 5.6.43

CVE-2018-3155
JVNDB-2018-008668

CVSS v3
7.7 (重要)
・MySQL 8.0.0から8.0.12
・MySQL 5.7.0から5.7.23
・MySQL 8.0.13
・MySQL 5.7.24

CVE-2018-3064
JVNDB-2018-005763

CVSS v3
7.1 (重要)
・MySQL 8.0.0から8.0.11
・MySQL 5.7.0から5.7.22
・MySQL 5.6.0から5.6.40
・MySQL 8.0.12
・MySQL 5.7.23
・MySQL 5.6.41

CVE-2018-2755
JVNDB-2018-002919

CVSS v3
7.7 (重要)
・MySQL 5.7.0から5.7.21
・MySQL 5.6.0から5.6.39
・MySQL 5.5.0から5.5.59
・MySQL 5.7.22
・MySQL 5.6.40
・MySQL 5.5.60

CVE-2018-2696
JVNDB-2018-001139

CVSS v3
7.5 (重要)
・MySQL 5.7.0から5.7.20
・MySQL 5.6.0から5.6.38
・MySQL 5.7.21
・MySQL 5.6.39

CVE-2018-2562
JVNDB-2018-001120

CVSS v3
7.1 (重要)
・MySQL 5.7.0から5.7.19
・MySQL 5.6.0から5.6.38
・MySQL 5.5.0から5.5.58
・MySQL 5.7.20
・MySQL 5.6.39
・MySQL 5.5.59

CVE-2017-10155
JVNDB-2017-008776

CVSS v3
7.5 (重要)
・MySQL 5.7.0から5.7.19
・MySQL 5.6.0から5.6.37
・MySQL 5.7.20
・MySQL 5.6.38

CVE-2017-3599
JVNDB-2017-003578

CVSS v3
7.5 (重要)
・MySQL 5.7.0から5.7.17
・MySQL 5.6.0から5.6.35
・MySQL 5.7.18
・MySQL 5.6.36

CVE-2017-3450
JVNDB-2017-003556

CVSS v3
7.5 (重要)
・MySQL 5.7.0から5.7.17
・MySQL 5.6.0から5.6.35
・MySQL 5.7.18
・MySQL 5.6.36

CVE-2017-3329
JVNDB-2017-003554

CVSS v3
7.5 (重要)
・MySQL 5.7.0から5.7.17
・MySQL 5.6.0から5.6.35
・MySQL 5.5.0から5.5.54
・MySQL 5.7.18
・MySQL 5.6.36
・MySQL 5.5.55

CVE-2017-3309
JVNDB-2017-003553

CVSS v3
7.7 (重要)
・MySQL 5.7.0から5.7.17
・MySQL 5.6.0から5.6.35
・MySQL 5.5.0から5.5.54
・MySQL 5.7.18
・MySQL 5.6.36
・MySQL 5.5.55

CVE-2017-3308
JVNDB-2017-003552

CVSS v3
7.7 (重要)
・MySQL 5.7.0から5.7.17
・MySQL 5.6.0から5.6.35
・MySQL 5.5.0から5.5.54
・MySQL 5.7.18
・MySQL 5.6.36
・MySQL 5.5.55

CVE-2016-6664
JVNDB-2016-006435

CVSS v3
7.0 (重要)
・MySQL 5.7.0から5.7.14
・MySQL 5.6.0から5.6.32
・MySQL 5.5.0から5.5.51
・MySQL 5.7.15
・MySQL 5.6.33
・MySQL 5.5.52

CVE-2016-6663
JVNDB-2016-006496

CVSS v3
7.0 (重要)
・MySQL 8.0.0
・MySQL 5.7.0から5.7.14
・MySQL 5.6.0から5.6.32
・MySQL 5.5.0から5.5.51
・MySQL 8.0.1
・MySQL 5.7.15
・MySQL 5.6.33
・MySQL 5.5.52

CVE-2016-6662
JVNDB-2016-004832

CVSS v3
9.8 (緊急)
・MySQL 5.7.0から5.7.15
・MySQL 5.6.0から5.6.33
・MySQL 5.5.0から5.5.52
・MySQL 5.7.16
・MySQL 5.6.34
・MySQL 5.5.53

CVE-2016-5625
JVNDB-2016-005454

CVSS v3
7.0 (重要)
・MySQL 5.7.0から5.7.14 ・MySQL 5.7.15

CVE-2016-3477
JVNDB-2016-003829

CVSS v3
8.1 (重要)
・MySQL 5.7.0から5.7.12
・MySQL 5.6.0から5.6.30
・MySQL 5.5.0から5.5.49
・MySQL 5.7.13
・MySQL 5.6.31
・MySQL 5.5.50

CVE-2016-3471
JVNDB-2016-003828

CVSS v3
7.5 (重要)
・MySQL 5.6.0から5.6.26
・MySQL 5.5.0から5.5.45
・MySQL 5.6.27
・MySQL 5.5.46

CVE-2016-3440
JVNDB-2016-003825

CVSS v3
7.7 (重要)
・MySQL 5.7.0から5.7.11 ・MySQL 5.7.12

CVE-2016-0639
JVNDB-2016-002209

CVSS v3
9.8 (緊急)
・MySQL 5.7.0から5.7.11
・MySQL 5.6.0から5.6.29
・MySQL 5.7.12
・MySQL 5.6.30

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。前述の掲載ルール外の脆弱性情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。
※「影響を受けるバージョン」に関しては、Oracle MySQL Risk Matrixの記載方法に関して、メジャーバージョン系列ごとに影響範囲を指定しているものと解釈しています。例えば、「5.7.41 and prior」と記載があった場合、「MySQL5.7系列で5.7.41まで」(MySQL5.6以下は含まない)と解釈しています。
※CVEで採番されていない脆弱性情報や、CVEで採番されていてもJVNに掲載されていない脆弱性情報については掲載していません。
※本記事における脆弱性情報は、当社が把握している情報の一部であり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

MySQLのバージョンアップに強いWeb制作会社をお探しの場合にはご相談ください

Webサイトに関して言えば、WordPressサイトだけでなく、大手企業であっても数多くMySQLを利用されています。

一方で、MySQLのバージョンアップは複雑な作業工程を伴うため、安全に行うためには専門的な知識が必要ですが、自社内で保守を行うにも属人化が発生してリソースが足りなくなったり、徐々にシステムの規模が大きくなるにつれて社内では対応できなくなったりすることが増えています。

Web制作会社はいわゆるWebアプリケーション側(WebサイトやCMS等)を専門としていますので、MySQLを含めたミドルウェアについては対応されていない会社も多いと思います。
これは、MySQLのライセンス関係が複雑なことも理由の一つかもしれません。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されております。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

MySQLの取り扱いにも慣れておりますので、WebサイトおよびWebシステムにおけるMySQLバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問い合わせください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。