セキュリティ

SECURITY

公開：2025-04-24

【CVE-2025-21574】MySQLの複数バージョンにDoS脆弱性、Parserコンポーネントの深刻な問題が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MySQLサーバーに深刻なDoS脆弱性が発見
• 複数のバージョンが影響を受け緊急の対応が必要
• CVSSスコア6.5のミディアムリスクと評価

MySQL Serverの深刻なDoS脆弱性【CVE-2025-21574】

Oracle社は2025年4月15日、MySQL ServerのParserコンポーネントに重大な脆弱性を発見したことを公表した。この脆弱性は複数のプロトコルを介してネットワークアクセスを持つ攻撃者によって容易に悪用される可能性があり、MySQL Serverの完全なサービス停止やクラッシュを引き起こす恐れがあるのだ。^[1]

影響を受けるバージョンは、MySQL Server 8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0までの広範囲に及んでいる。CVSSv3.1の基本スコアは6.5で可用性への影響が重大とされ、攻撃者は低い特権レベルでネットワークを介して攻撃を実行できる可能性があるだろう。

また、MySQL Clusterの7.6.0から7.6.33も同様の脆弱性の影響を受けることが判明した。この脆弱性はCWE-400（制御されていないリソース消費）に分類され、特に重要なデータベースシステムの可用性に深刻な影響を及ぼす可能性が指摘されている。

MySQLの影響を受けるバージョンまとめ

サービス停止攻撃について

サービス停止攻撃とは、システムやサービスの可用性を低下させる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムリソースを過剰に消費させる攻撃手法
• 正規ユーザーのサービス利用を妨害する
• ビジネスの継続性に重大な影響を及ぼす可能性がある

MySQLサーバーに対するサービス停止攻撃は、データベースの可用性を著しく低下させ、業務システム全体に深刻な影響を及ぼす可能性がある。特にParserコンポーネントの脆弱性を突いた攻撃は、システムのクラッシュや応答不能を引き起こし、データベースサービスの長時間停止につながる危険性が指摘されている。

MySQL Serverの脆弱性に関する考察

今回発見された脆弱性は、MySQLの広範なバージョンに影響を及ぼすという点で特に重要だ。データベースの可用性はビジネスの継続性に直結するため、早急なパッチ適用やバージョンアップグレードによる対策が望まれるだろう。

脆弱性の影響を受けるバージョンが多岐にわたることから、組織によっては対応に時間がかかる可能性がある。特に本番環境での急なバージョンアップは慎重な検討が必要だが、一方で攻撃が容易に実行できる点を考慮すると、できるだけ早期の対応が求められるだろう。

長期的には、MySQLのセキュリティアーキテクチャの見直しも検討する必要がある。特にParserコンポーネントの堅牢性向上や、リソース消費に関する制御機能の強化が望まれるところだ。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-21574」. https://www.cve.org/CVERecord?id=CVE-2025-21574, (参照 25-04-24).
1727
2. Oracle. https://www.oracle.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧