【CVE-2024-21218】Oracle MySQLに深刻な脆弱性、InnoDB関連の不備でDoS攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Oracle MySQLの複数バージョンでInnoDB関連の脆弱性を確認
管理者権限で実行可能なDoS攻撃のリスクが存在
2024年10月のセキュリティパッチで修正完了

Oracle MySQL 8系のInnoDB脆弱性に関する報告

Oracle社は2024年10月15日、MySQL Server 8.0.39以前、8.4.2以前、9.0.1以前のバージョンにおいてInnoDB関連の重大な脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-21218】として識別されており、CVSS v3での深刻度基本値は4.9と評価されている。^[1]

脆弱性の特徴として、攻撃元区分はネットワークであり攻撃条件の複雑さは低いとされているが、攻撃実行には高い特権レベルが必要となることが判明した。また利用者の関与は不要であり、影響の想定範囲に変更はないものの可用性への影響が高いと評価されている。

本脆弱性を悪用された場合、リモートの管理者権限を持つ攻撃者によってサービス運用妨害攻撃が実行される可能性が指摘されている。Oracleは2024年10月のCritical Patch Updateにて修正プログラムを提供しており、影響を受けるバージョンのユーザーに対して速やかな適用を推奨している。

MySQL脆弱性の影響範囲まとめ

項目	詳細
影響を受けるバージョン	MySQL 8.0.39以前、8.4.2以前、9.0.1以前
CVSSスコア	4.9（警告）
攻撃条件	ネットワーク経由、低複雑性、高特権レベル必要
想定される影響	サービス運用妨害（DoS）攻撃の可能性
対策状況	2024年10月のパッチで修正完了

サービス運用妨害攻撃について

サービス運用妨害攻撃とは、システムやネットワークのリソースを意図的に消費させることでサービスの提供を妨害する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

システムやサーバーの可用性を低下させる攻撃手法
正常なサービス提供を妨害し業務継続に影響を与える
ネットワークトラフィックの過負荷やリソース枯渇を引き起こす

今回のOracle MySQLの脆弱性では、InnoDB関連の処理に不備があることが確認されており、管理者権限を持つ攻撃者によってDoS攻撃が実行される可能性が指摘されている。CVSSスコアは4.9と中程度の評価だが、データベースシステムの可用性に直接的な影響を与える可能性があるため、早急な対策が推奨される。

Oracle MySQLの脆弱性対策に関する考察

MySQLの脆弱性対策において最も評価できる点は、発見から修正までの迅速な対応であり、Critical Patch Updateを通じて包括的な修正プログラムが提供されたことである。一方で今後同様の脆弱性が発見された場合、パッチ適用までの期間中にシステムが攻撃に晒される可能性は否定できないため、セキュリティ監視体制のさらなる強化が求められるだろう。

データベース管理システムの脆弱性対策では、迅速なパッチ適用に加えてアクセス制御の厳格化やネットワークセグメンテーションの見直しが重要となる。特にInnoDB関連の処理における権限管理については、最小権限の原則に基づいた見直しと、異常検知の仕組みの導入が効果的な対策となるはずだ。

今後MySQLのセキュリティ強化に期待される点として、脆弱性の早期発見・報告の仕組みの充実化が挙げられる。特にオープンソースコミュニティとの連携を強化し、脆弱性情報の共有や修正プログラムの開発を効率化することで、より強固なセキュリティ体制の構築が可能となるだろう。