目的
MySQLのバージョン情報をもとに脆弱性情報を取得してみる。
方法
- CPEを確認していくつかピックアップ
- CPE情報をもとに脆弱性情報を取得
8.0系
NVD - Detail - cpe:2.3
oracle:mysql:8.0.0:*:*:*:*:*:*:*
Version 2.3: cpe:2.3:a:oracle:mysql:8.0.0:*:*:*:*:*:*:*
Version 2.2: cpe:/a:oracle:mysql:8.0.0
| Version | NVD CVEs | go-cve-dictionary |
|---|---|---|
| 8.0.0 | NVD - Results 513 | 513 |
| 8.0.10 | NVD - Results 513 | 513 |
| 8.0.20 | NVD - Results 274 | 274 |
| 8.0.25 | NVD - Results 119 | 119 |
| 8.0.26 | NVD - Results 110 | 110 |
| 8.0.27 | NVD - Results 69 | 69 |
5.7系
NVD - Detail - cpe:2.3oracle:mysql:5.7.0:*:*:*:-:*:*:*
Version 2.3: cpe:2.3:a:oracle:mysql:5.7.0:*:*:*:-:*:*:*
Version 2.2: cpe:/a:oracle:mysql:5.7.0::~~-~~~
NVD - Detail - cpe:2.3oracle:mysql:5.7.0:*:*:*:community:*:*:*
Version 2.3: cpe:2.3:a:oracle:mysql:5.7.0:*:*:*:community:*:*:*
Version 2.2: cpe:/a:oracle:mysql:5.7.0::~~community~~~
| Version | NVD CVEs | go-cve-dictionary |
|---|---|---|
| 5.7.0 | NVD - Results 470 | 470 |
| 5.7.10 | NVD - Results 463 | 463 |
| 5.7.20 | NVD - Results 306 | 306 |
| 5.7.30 | NVD - Results 146 | 146 |
| 5.7.36 | NVD - Results 100 | 100 |
確認
- バージョンが上がるに従い検知数が減っているので概ね妥当に見える
- 5.7.36 で NVD - CVE-2020-14846 が対象に表示されるが、8系の影響のみ記載があり5.7系の影響は記載されていない。
Oracle Critical Patch Update Advisory - October 2020 を見ると8.0系についての影響のみ記載されている。これは5.6系と5.7系には影響がないことを意図しているような気もするが、よくわからない。
CVE-2020-14846 | Ubuntu を見ると5.7のところにNot vulnerable (8.0 only)と記載されているので5.7系には影響がなかったように見えるけど、どうなんだろう。