2029年まで延長されたRDS MySQL 5.7 Extended Support — 2026年6月提供のパッチの内容を調査してみた
はじめに
2026年6月17日、AWSはRDS MySQL 5.7のExtended Supportを2029年6月30日まで延長すると発表しました。従来の終了予定は2027年2月28日でしたが、約2年半の延長となります。Year 3料金($0.200/vCPU-hr)は据え置きです。
この延長発表に先立つ6月4日には、Year 3に入った後のセキュリティパッチ 5.7.44-RDS.20260521 がリリースされています。14件のCVE修正と1件のバグ修正が含まれており、Extended Supportの保守が実態として機能していることが確認できます。CVEは全件DoS系(CVSS 4.9〜6.5)、バグ修正はシャットダウン時のメモリリーク修正です。
実際にどのような修正が提供されているのかを把握するため、NVDとOracle CPU April 2026で14件すべてのCVEを確認しました。
なお、本記事は公開情報ベースの調査であり、実機での脆弱性再現やパッチ適用検証は行っていません。
Extended Support 追加料金の整理
RDS MySQL 5.7のExtended Support追加料金は以下のとおりです(US East (Ohio) リージョン)。
| 期間 | 日付範囲 | 追加料金 (per vCPU-hr) |
|---|---|---|
| Year 1-2 | 2024/3/1 〜 2026/2/28 | $0.100 |
| Year 3 | 2026/3/1 〜 2029/6/30 | $0.200 |
Extended Support 追加料金のみの月額試算
Single-AZ、1インスタンス、730時間/月換算での試算です。
| インスタンスクラス | vCPU | Year 1-2 | Year 3 |
|---|---|---|---|
| db.t3.micro | 2 | $146/月 | $292/月 |
| db.r5.large | 2 | $146/月 | $292/月 |
| db.r5.2xlarge | 8 | $584/月 | $1,168/月 |
Extended Support追加料金はvCPU数ベースで計算されるため、インスタンスクラスの通常料金に関わらず、同じvCPU数であれば同額になります。db.t3.microとdb.r5.largeが同額なのはこのためです。
また、Reserved Instanceの割引はExtended Support料金には適用されません。
CVE 調査結果
全14件一覧
14件すべてのCVEについて、NVDでCVSS v3.1ベクトルを確認し、コンポーネント分類はOracle CPU April 2026を参照して整理しました。
| CVE ID | コンポーネント | CVSS v3.1 | PR | Vector |
|---|---|---|---|---|
| CVE-2026-34270 | Group Replication Plugin | 6.5 | L | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-34271 | Group Replication Plugin | 6.5 | L | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-34272 | Optimizer | 6.5 | L | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-22004 | InnoDB | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-34304 | InnoDB | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-35236 | InnoDB | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-35237 | InnoDB | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-35238 | InnoDB | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-21998 | Optimizer | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-22002 | Optimizer | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-22005 | Optimizer | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-34267 | Optimizer | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-34278 | Optimizer | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2026-35240 | Optimizer | 4.9 | H | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
すべてのCVEは Oracle Critical Patch Update April 2026 で公開されたものです。
共通の特徴
14件すべてに共通するCVSSベクターの特徴は以下のとおりです。
- 機密性 (C): None — データ漏洩への直接影響はCVSS上評価されていない
- 完全性 (I): None — データ改竄への直接影響はCVSS上評価されていない
- 可用性 (A): High — サーバーのハングまたは繰り返しクラッシュ(完全なDoS)を引き起こす可能性
公開情報上はすべてDoS系の脆弱性として評価されています。
深刻度別の分布
| CVSS v3.1 Base Score | 必要権限 | 件数 |
|---|---|---|
| 6.5 (MEDIUM) | PR:L(認証済み低権限) | 3件 |
| 4.9 (MEDIUM) | PR:H(高権限) | 11件 |
PR:L(低権限)はDB接続権限を持つユーザー、PR:H(高権限)はDBA相当の権限を前提としています。
コンポーネント別の内訳
| コンポーネント | 件数 |
|---|---|
| Server: Optimizer | 7 |
| InnoDB | 5 |
| Server: Group Replication Plugin | 2 |
OptimizerとInnoDBで計12件と、全体の大部分を占めています。
Group Replication関連のCVEが2件含まれています。ただし、RDS for MySQLの通常構成ではユーザーがGroup Replicationを直接利用しないため、RDS利用者にとっての実質的な影響度は低いと考えられます。
CVSS 6.5 の3件について
14件の中で相対的にスコアが高い3件は、認証済み低権限(PR:L)で攻撃可能とされています。
- CVE-2026-34270, CVE-2026-34271(Group Replication Plugin): Group Replicationの処理においてDoSを引き起こす可能性。ただし前述のとおりRDS通常構成では影響度は低い
- CVE-2026-34272(Optimizer): クエリ最適化処理においてDoSを引き起こす可能性。低権限DBユーザーが通常のクエリ実行で到達しうるパスであり、3件の中では最も実質的なリスクが高い
低権限DBユーザーを広く払い出している環境では、特にCVE-2026-34272の影響を考慮に入れる価値があります。
パッチ適用についての整理
14件すべてがDoS系(C:N/I:N/A:H)であり、データ漏洩・改竄リスクは公開情報上評価されていないため、可用性要件を軸に適用を判断できます。
なお、CVSSの AV:N(Attack Vector: Network)は「ネットワーク経由で到達可能」という評価であり、インターネットから未認証で攻撃可能という意味ではありません。RDSでは実際の到達可能性はVPC、Security Group、Public accessibilityなどの構成に依存します。
以下の環境では早めの適用を検討する価値があります。
- 可用性要件が高いシステム(DoSは十分に重大な影響)
- 低権限DBユーザーを広く払い出している環境(PR:LのCVEが3件存在)
実際の適用タイミングは、メンテナンスウィンドウ、再起動影響、アプリケーション互換性確認と合わせて判断することになります。
まとめ
今回の5.7.44-RDS.20260521に含まれる14件のCVE修正は、CVSS上すべてDoS系(C:N/I:N/A:H)として評価されています。可用性要件やDBユーザーの権限設計に応じて適用を検討してください。サポート期間は2029年まで延長されましたが、適切なタイミングでのMySQL 8.0や8.4 LTSへのアップグレードをおすすめします。
