セキュリティ

SECURITY

公開：2025-05-01

【CVE-2025-21580】MySQLサーバの複数バージョンでDoS脆弱性が発見、データベースの可用性に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MySQLの複数バージョンで脆弱性が発見
• DoS攻撃のリスクがCVSS 3.1で中程度と評価
• Oracle社が2025年4月15日にアドバイザリを公開

MySQLサーバ8.0から9.2の複数バージョンにDoS脆弱性

Oracle社は2025年4月15日、MySQLサーバの複数バージョンにおいて深刻度が中程度の脆弱性（CVE-2025-21580）を公開した。この脆弱性は8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0の各バージョンに影響を与えるもので、DMLコンポーネントに関連する問題であることが明らかになっている。^[1]

NVDの評価によると、この脆弱性はネットワークを介してアクセス可能な攻撃者により容易に悪用される可能性があり、高い特権を持つ攻撃者が複数のプロトコルを経由してMySQLサーバを侵害する恐れがある。攻撃が成功した場合、MySQLサーバの応答停止や繰り返し可能なクラッシュによる完全なサービス妨害（DoS）が引き起こされる可能性が指摘されている。

CVSSスコアは4.9（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）と評価されており、可用性への影響が高いと判断されている。CWEでは「CWE-732：重要なリソースに対する誤った権限割り当て」として分類され、SSVCによる技術的影響は部分的であると評価されている。

MySQLサーバの脆弱性情報まとめ

サービス妨害（DoS）攻撃について

サービス妨害（DoS）攻撃とは、システムやネットワークのリソースを過負荷状態にし、本来のサービス提供を妨害する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムやサーバのリソースを消費し、正常なサービス提供を妨害
• 大量のリクエストやトラフィックを発生させ、システムを機能不全に
• 特権アカウントの悪用により、内部からのサービス停止を引き起こす

MySQLサーバにおけるこの脆弱性は、高い特権を持つ攻撃者がネットワークを介して攻撃を実行することで、サーバの応答停止や繰り返し可能なクラッシュを引き起こす可能性がある。CVSSスコアでは可用性への影響が高いと評価されており、システム管理者は適切なセキュリティ対策を講じる必要がある。

MySQLサーバの脆弱性に関する考察

今回発見された脆弱性は、MySQLの広範なバージョンに影響を与えることから、多くの企業システムやアプリケーションに潜在的なリスクをもたらす可能性がある。特にDMLコンポーネントの問題は、データベースの基本的な操作に関わるため、運用面での影響が大きく、早急な対応が求められるだろう。

この脆弱性の特徴として、高い特権を持つアカウントが必要という点が挙げられるが、内部犯行や特権昇格と組み合わさることで、より深刻な被害につながる可能性がある。また、複数のプロトコルを経由して攻撃が可能という点は、防御の複雑さを増大させ、包括的なセキュリティ対策の必要性を示唆している。

今後は、MySQLのバージョンアップに伴うセキュリティ強化や、特権アカウントの厳格な管理、アクセス制御の見直しなどが重要になってくる。データベースの可用性確保は企業活動の継続性に直結するため、セキュリティパッチの適用や監視体制の強化など、予防的な対策を講じることが望ましい。

参考サイト

1. ^ CVE. 「CVE-2025-21580」. https://www.cve.org/CVERecord?id=CVE-2025-21580, (参照 25-05-01).
1497
2. Oracle. https://www.oracle.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧