TiDB User Day 2024のアーカイブ動画を公開中!詳細を見る
Sign In 無料で始める
無料で始める

PingCAPでは、製品に関連するセキュリティを非常に重視しています。PingCAPの製品を使用又はテストする際にセキュリティの脆弱性を発見された場合は、すぐにTiDBセキュリティチームにご報告ください。

 

脆弱性の報告方法

TiDB製品の脆弱性を発見された場合、又はTiDB製品の脆弱性を含むセキュリティインシデントに遭遇された場合は、メールにてTiDBセキュリティチーム (security@pingcap.com) にご報告ください。

その際、脆弱性に関する可能な限りの情報を以下の形式でお知らせください (*は必須項目です)

  • 脆弱性の項目*
  • 概要*
  • 影響を受けるコンポーネントとバージョン番号*
  • CVE 識別番号
  • 脆弱性の検証プロセス*
  • ご連絡先*

TiDBセキュリティチームが脆弱性を確認し、ご提出後2営業日以内にご連絡します。

注意: 脆弱性を利用したデータの (検証の範囲を逸脱した) ダウンロードや取得、ユーザーデータの削除や変更は行わないでください。これらは悪意のある攻撃とみなされます。

 

対象外となる事象

以下のような事象は、セキュリティ脆弱性には該当しません。

  • 物理的な攻撃
  • ソーシャル・エンジニアリング攻撃や近接攻撃
  • HTTP セキュリティヘッダの欠落、又は特定の HTTP メソッドの有効化
  • 電子メールの送信者ポリシーフレームワーク (SPF) の問題
  • APIインターフェースに対するブルートフォース攻撃
  • ウェブサイトページのクリックジャック
  • HTMLコンテンツインジェクション
  • robots.txtファイルの公開
  • 電子メールのなりすまし
  • ページに関するエラーメッセージ
  • Golang又はJavaScript関数のエラー
  • APIインターフェースのレート制限がない場合
  • 機密性のないファイルの流出
  • 分散型サービス拒否 (DDoS) 攻撃又はHTTPフラッド攻撃によるサービスの中断
  • サーバのバージョン情報の漏洩
  • 脆弱なパスワード・ポリシーやデータベースのハッシュ・サルティングの問題
  • SSL (Secure Socket Layer) のバージョン又はTLS (Transport Layer Security) のバージョンが低すぎる場合
  • 依存するサードパーティ製コンポーネントに脆弱性があるが検証できない場合

 

秘密保持ポリシー

セキュリティ脆弱性を修正した後、私たちは報告者に感謝の意を表明します。但し、悪影響を避けると共に法的要件に従うため、脆弱性が解消されるまでは脆弱性情報の秘密保持をお願いします。また、以下の行動規範を遵守いただければ幸いです。

  • PingCAPがパッチをリリースするまでは、脆弱性を一般や第三者に開示しないでください。脆弱性の種類によって、修正にかかる時間やプロセスは異なります。そのため、関係者全員が調査・判断の上、脆弱性を公表する適切な時期を決定する必要があります。
  • 脆弱性の不適切な利用を避けるため、脆弱性の悪用コード等、脆弱性に関する詳細な情報は開示しないでください。
  • 知的財産権保護に関する法規制や企業秘密に関する契約を遵守してください。

 

修正された脆弱性の公開

脆弱性の項目
影響を受けたコンポーネント
CVSS
影響を受けたバージョン
修正後のバージョン
問題の概要
TiFlashの冗長ポート開放
TiFlashサーバ
CVSS v3 スコア: 8.2 => 高い危険性 (High severity)
4.0.0 <= TiFlash < 7.1.0
>= 7.1.0
TiFlashを導入した場合、デフォルトで冗長なHTTPポートが開放される
TiDBダッシュボードにおけるSSRF脆弱性
TiDB ダッシュボード
CVSS v3 スコア: 7.3 => 高い危険性 (High severity)
7.2.0-DMR
7.3.0-DMR
<= 6.5.3
<= 7.1.1
7.4.0-DMR
>= 6.5.4
>= 7.1.2
>= 7.5.0
SSRFの脆弱性により、攻撃者が信頼されたサーバを経由してターゲットサーバに悪意のあるリクエストを送ることができる
TiDB DSN インジェクション
TiDBサーバ
CVSS v3
スコア: 9.8 => 重大な危険性 (Critical severity)
<= 6.1.2,
>= 6.2.0 & <= 6.4.0-alpha1
6.1.3
DSNインジェクション脆弱性によるランダムファイル読み込みの可能性
TiFlash の冗長ポート開放
TiFlash
CVSS v3
スコア: 8.6 => 高い危険性 (High severity)
>=4.0.0 & <7.1.0
7.1.0(TiUP>=v1.12.5 or TiDB Operator >= v1.5.0)
TiFlashをデフォルトで導入した場合、冗長なポートが開放される
TiDB認証バイパスの脆弱性
TiDBサーバ
CVSS v3 スコア: 8.4 => 高い危険性 (High severity)
5.3.0
5.3.1
特定の条件下で、ユーザはこの脆弱性を悪用して本人確認をバイパスすることができる
TiDB DML SQL 実行脆弱性
TiDBサーバ
CVSS v3 スコア: 8.2 => 高い危険性 (High severity)
<=4.0.14,
<=5.0.3,
<=5.1.1
4.0.15
5.0.4
5.1.2
TiDB http statusサービスに SQLインジェクションの脆弱性があり、攻撃者がこの脆弱性を利用してデータベースのパーミッションを得ることができる
TiDB caching_sha2_password におけるパスワード認証によるログインをバイパスする脆弱性
TiDBサーバ
CVSS v3 スコア: 7.6 => 高い危険性 (High severity)
<=4.0.6
4.0.7
特定の条件下で、ユーザが caching_sha2_password の認証メカニズムをバイパスして TiDB にログインできる