Amazon RDS – استشارة أمنية خاصة بـ MySQL

29/10/2014، الساعة 4:30 عصرًا بتوقيت منطقة المحيط الهادئ - تحديث -

 

تحديث أمني لنظام MySQL 5.1

لقد توصلنا أن بعض المشكلات الأمنية التي صرّحت شركة Oracle بوجودها في نظام MySQL بالإصدارين 5.5 و5.6 هنا: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL قد تؤثر في نظام MySQL 5.1. كما تم التوضيح في https://www.mysql.com/support/eol-notice.html، فإن شركة Oracle نقلت نظام MySQL 5.1 إلى مرحلة الدعم Sustaining Support في ديسمبر 2013 ولم تعد توفر المجموعات التصحيحية له. للاستمرار في استلام تصحيحات الأمان والموثوقية لنظام MySQL، نوصي العملاء ممن يعملون بنظام MySQL 5.1 بإجراء ترقية الإصدار الرئيسية إلى الإصدارين الأحدث من MySQL 5.5 أو 5.6 بعد اختبار التوافق مع التطبيق. يتوفر هنا المزيد من التفاصيل حول إجراء هذه الترقية: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

ولمنح العملاء المزيد من الوقت لاختبار التوافق وإجراء ترقية الإصدار الرئيسية، فقد أطلقنا إصدارًا صغيرًا جديدًا من MySQL 5.1، وهو 5.1.73a. يحتوي هذا الإصدار على الإصلاحات الأمنية لثغرات CVE-2014-6491، وCVE-2014-6494، وCVE-2014-6500، وCVE-2014-6559 المضافة إلى نظام MySQL 5.1.73. كما ستتم ترقية مثيلات MySQL 5.1 RDS التي تم تكوينها باستخدام توجيه أفضل ممارسات استخدام مجموعات الأمان مُقيّدة الوصول إلى الإصدار MySQL 5.1.73a، وذلك في أثناء نوافذ الصيانة الطبيعية في الفترة بين 30 أكتوبر 2014 الساعة 11:00 م حتى 06 نوفمبر 2014 الساعة 10:59 م بالتوقيت العالمي المنسق. ستتم ترقية أي مثيلات RDS من المثيلات التي لا تزال مُكوَّنة باستخدام المجموعات الأمنية التي توفر إمكانية الوصول غير المُقيّد من الإنترنت (تُحدد قواعد الإدخال 0.0.0.0/0) بحلول 30 أكتوبر 2014 في الساعة 05:00 م حسب التوقيت العالمي المنسق، وستتم هذه الترقية تلقائيًا إلى الإصدار 5.1.73a بعد هذا الوقت، وقبل نافذة صيانتها. لمعلومات عن إعادة تكوين إمكانية الوصول إلى مثيلات RDS، تفضل بالاطلاع على: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. ويمكن للمستخدمين أيضًا إجراء هذه الترقية الصغيرة في أي وقت سابق لنافذة الصيانة باستخدام عملية التعديل: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. يُرجى الملاحظة أنه سيتم إجراء هذه الترقية الإلزامية، حتى مع المثيلات التي تم تحديد خيار Auto Minor Version Upgrade (ترقية الإصدارات الصغيرة تلقائيًا) لها على «لا».

-------------------------------------------------------------------------------------------------

 

 

24/10/2014، الساعة 5:00 عصرًا بتوقيت منطقة المحيط الهادئ - تحديث -



مثيلات MySQL 5.5 و5.6 التي تحتوي على المجموعات الأمنية المكوّنة على توفير إمكانية الوصول غير المُقيد إلى الإنترنت:

تمت ترقية جميع مثيلات MySQL 5.5 و5.6 التي كانت لا تزال مكوّنة بإمكانية الوصول غير المقيد (قاعدة CIDR 0.0.0.0/0) من الإنترنت اعتبارًا من 17 أكتوبر 2014 الساعة 07:00 م حسب التوقيت العالمي المنسق، إلى الإصدارين 5.5.40 و5.6.21 على التوالي بحلول 19 أكتوبر 2014.

مثيلات MySQL 5.5 التي تحتوي على إمكانية الوصول المقيد من الإنترنت:

بدأنا بترقية مثيلات MySQL 5.5 إلى 5.5.40 في أثناء نوافذ الصيانة التي حددها العملاء في يوم 20 أكتوبر 2014 الساعة 10:30 م حسب التوقيت العالمي المنسق. وسنكمل إجراء هذه الترقيات بحلول 27 أكتوبر 2014 الساعة 10:29 حسب التوقيت العالمي المنسق.

مثيلات MySQL 5.6 التي تحتوي على إمكانية الوصول المقيد من الإنترنت:

كان من المقرر بدء إجراء الترقيات لمثيلات 5.6 المزودة بالمجموعات الأمنية التي لا تصل إلى الإنترنت بالأساس في يوم 20 أكتوبر 2014. ولكن لم تبدأ هذه الترقية لأننا تعرفنا على حالة قد تتعطل فيها استنساخات القراءة لمثيل MySQL 5.6 بعد الترقية إلى 5.6.21. تتعلق هذه الحالة بتنسيق عمودي التاريخ والطابع الزمني في وحدة تخزين MySQL اللذين تم تقديمهما في MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

ونظرًا لهذا التغيير في التنسيق، قد تتعطل إحدى استنساخات القراءة بإصدار MySQL 5.6.21 عند تلقي حركة تسجيل صفوف تُعدل عمود التاريخ أو الطابع الزمني من إصدار رئيسي لـ MySQL تم إنشاؤه (أو ترقيته) من إصدار MySQL أقدم من 5.6.4. هناك خيار لحل هذه المشكلة، وهو مدوّن في قسم «المشكلات والقيود المعروفة» في هذه الوثيقة: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

بالإضافة إلى ذلك، نظرًا لعدم توافق كيفية تسجيل الكائنات الثنائية بدايةً من إصدار MySQL 5.6.20، سيحتاج العملاء الذين يرغبون في تعديل الكائنات الثنائية الأكبر من 12.8 ميجا بايت إلى تعديل معلمة "innodb_log_file_size" لديهم، بحيث تصبح أكبر من أكبر كائن ثانوي يرغبون في تعديله بعشر مرات. لمعلومات عن هذا التغيير، يُرجى الاطلاع على:http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

حرصًا منا لإمداد العملاء بفائدة التحديثات الأمنية دون مصادفة أي من المشكلات الأمنية المذكورة بالأعلى، قمنا بإطلاق إصدار صغير جديد لمثيل MySQL 5.6 وهو 5.6.19a. يحتوي هذا الإصدار على الإصلاحات الأمنية لقوائم CVE-2014-6491، وCVE-2014-6494، وCVE-2014-6500، وCVE-2014-6559 المضافة إلى نظام MySQL 5.6.19. سنقوم بترقية جميع مثيلات MySQL 5.6 بالإصدار 5.6.19 أو الإصدار 5.6.19a سابقًا ضمن نافذة الصيانة التي يحددها العملاء، وذلك في الفترة بين 28 أكتوبر الساعة 07:00 م وحتى 04 نوفمبر 2014 الساعة 06:59 م حسب التوقيت العالمي المنسق. كما يمكنك إجراء هذه الترقية الصغيرة في أي وقت تختاره سابق لنافذة الصيانة، باستخدام عملية التعديل: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html

يُرجى الملاحظة أن سيتم إجراء هذه الترقية الإلزامية، حتى إذا كنت قد اخترت «لا» مع خيار Auto Minor Version Upgrade (ترقية الإصدارات الصغيرة تلقائيًا).

إذا كنت قد أجريت الترقية بالفعل على مثيلات MySQL 5.6 لديك إلى MySQL 5.6.21، فيُرجى الاطلاع على قسم «المشكلات والقيود المعروفة» الذي تم توضيحه سابقًا، ونفّذ الخطوات الواردة فيه عند الاقتضاء.

-------------------------------------------------------------------------------------------------

 

 

أعلنت شركة Oracle في يوم 16 أكتوبر عن وجود ثغرات أمنية ومجموعات تصحيح برامج مقترنة قد تبيّن أنها توثر في MySQL 5.5 و5.6:http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. ستتم ترقية مثيلات RDS التي تتبع توجيه أفضل ممارسات استخدام المجموعات الأمنية مقيّدة الوصول إلى MySQL 5.5.40 أو 5.6.21 في أثناء نوافذ الصيانة الطبيعية، وهما الإصداران الحديثان اللذان يحتويان على هذه المجموعات التصحيحية. بالنسبة إلى مثيلات RDS التي يتمتع فيها العملاء بتكوين إمكانية الوصول غير المقيد من الإنترنت (على سبيل المثال، قواعد CIDR مع اللاحقة 0/)، فنحن نوصي العملاء بتغيير مجموعاتهم الأمنية على الفور من أجل تقييد الوصول الداخلي على نوافذ قواعد البيانات، بحيث تقتصر فقط على عنوان IP المصدر والتي ينبغي إنشاء الاتصالات القانونية بقاعدة البيانات منها. فهذا سوف يخفف من وجود الثغرات الأمنية. لمعلومات حول إعادة تكوين إمكانية الوصول إلى قاعدة بياناتك، تفضل بالاطلاع على http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

لسد هذه الثغرات تمامًا، يجب ترقية مثيلات قاعدة بياناتك إلى MySQL 5.5.40 أو 5.6.21. ستوفر Amazon RDS الإصدارات الجديدة من نظام MySQL بحلول يوم الجمعة الموافق 17 أكتوبر2014، الساعة 12:00 ظهرًا حسب التوقيت القياسي لمنطقة المحيط الهادئ. يجوز للعملاء اختيار ترقية المثيلات التي لديهم يدويًا في ذلك الوقت، أو يمكنهم انتظار نافذة الصيانة الدورية التالية التي سنجري فيها الترقيات تلقائيًا. في وقت إجراء الترقية، ستخضع مثيلات قاعدة بياناتك (إما مناطق توافر الخدمات الأحادية أو إما المتعددة) لعملية إعادة التشغيل، وستصبح غير متوفرة لعدة دقائق.

وستتم ترقية أي مثيلات RDS تتابع السماح بالوصول غير المقيد من الإنترنت بحلول يوم الجمعة الموافق 17 أكتوبر 2014 في الساعة 12:00 ظهرًا حسب التوقيت القياسي لمنطقة المحيط الهادئ، وسيتم إجراء هذه الترقية تلقائيًا بعد مرور هذا الوقت وقبل نافذة صيانتها. وبالإضافة إلى ذلك، ستتم ترقية مثيلات 5.5 و5.6 التي لم يقم العملاء بترقيتها بعد، وبصرف النظر عن حالة مجموعاتها الأمنية؛ وستُجرى هذه الترقية في أثناء نافذة الصيانة في الفترة بين الاثنين الموافق 20 أكتوبر 2014 الساعة 12:00 ظهرًا إلى الاثنين الموافق 27 أكتوبر 2014 الساعة 11:59 ص حسب التوقيت القياسي لمنطقة المحيط الهادئ. يمكنك إجراء الترقية في الوقت الذي تختاره قبل موعد نافذة صيانتك، من خلال استخدام عملية التعديل. يُرجى الملاحظة أن سيتم إجراء هذه الترقية الإلزامية، حتى إذا كنت قد اخترت «لا» مع خيار Auto Minor Version Upgrade (ترقية الإصدارات الصغيرة تلقائيًا).

لمعلومات عن هذه الثغرات، تفضل بزيارة:

لمزيد من المعلومات حول ترقية مثيل قاعدة بياناتك، تفضل بزيارة: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html