Amazon RDS – MySQL 安全公告

2014 年 10 月 29 日下午 4:30(太平洋夏令时)- 更新 -

 

适用于 MySQL 5.1 的安全更新

我们已经确定,Oracle 在 http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL 中针对 MySQL 5.5 和 5.6 公布的一些安全问题可能会影响 MySQL 5.1。如 https://www.mysql.com/support/eol-notice.html 中所述,Oracle 已于 2013 年 12 月将 MySQL 5.1 列为持续支持对象,不再为其提供补丁。要继续接收 MySQL 安全和可靠性补丁,我们建议运行 MySQL 5.1 的客户在测试应用程序兼容性后,将主要版本升级至 MySQL 5.5 或 5.6 的最新版本。有关执行此升级的更多详细信息,请访问以下链接:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html

为了让客户有更多时间测试兼容性并执行主要版本升级,我们还发布了 MySQL 5.1 的新次要版本 5.1.73a。该版本包含适用于添加到 MySQL 5.1.73 的 CVE-2014-6491、CVE-2014-6494、CVE-2014-6500 和 CVE-2014-6559 的安全修复。按照使用访问权限受限安全组的最佳实践指导原则配置的 MySQL 5.1 RDS 实例,将在其从 2014 年 10 月 30 日 23:00(协调世界时间)至 2014 年 11 月 6 日 22:59(协调世界时间)之间的正常维护时段中升级到 MySQL 5.1.73a。在 2014 年 10 月 30 日 17:00(协调世界时间)之前其安全组仍然配置为可从 Internet 不受限制地访问(入口规则指定 0.0.0.0/0)的任何 RDS 实例,在该时间后都将自动升级到 5.1.73a,而不再等到其维护时段。有关重新配置 RDS 实例访问权限的信息,请参阅:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html。用户还可以在其维护时段之前的任何时间,利用“修改”操作升级到此次要版本:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html。请注意,即使对于在“自动次要版本升级”选项中选择了“否”的实例,也将进行此强制升级。

-------------------------------------------------------------------------------------------------

 

 

2014 年 10 月 24 日下午 5:00(太平洋夏令时)- 更新 -



安全组配置为能够不受限制地访问 Internet 的 MySQL 5.5 和 5.6 实例:

在 2014 年 10 月 17 日 19:00(协调世界时间)之前仍然配置为可从 Internet 不受限制地访问(CIDR 规则 0.0.0.0/0)的所有 MySQL 5.5 和 5.6 实例已于 2014 年 10 月 19 日分别升级到 MySQL 5.5.40 和 5.6.21。

从 Internet 访问受限的 MySQL 5.5 实例:

我们在 2014 年 10 月 20 日 22:30(协调世界时间)开始在客户规定的维护时段中将这些 MySQL 5.5 实例升级到 5.5.40。我们将在 2014 年 10 月 27 日 22:29(协调世界时间)完成这些升级。

从 Internet 访问受限的 MySQL 5.6 实例:

安全组为不对 Internet 开放的 5.6 实例的升级最初计划在 2014 年 10 月 20 日开始。该升级并未开始,因为我们发现了升级到 5.6.21 之后 MySQL 5.6 只读副本可能发生崩溃的情况。这与 MySQL 5.6.4 中推出的日期和时间戳列的 MySQL 存储格式有关: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html

由于这种格式变化,从使用低于 5.6.4 版的 MySQL 创建(或由该版本升级)的任何版本的 MySQL 主节点接收修改了日期或时间戳列的按行记录事务时,MySQL 5.6.21 只读副本可能会崩溃。“已知问题和限制”部分记录了一种解决此问题的方法: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations

此外,从 MySQL 5.6.20 版开始,记录 Blob 的方式存在不兼容,因为希望修改大小超过 12.8 MB 的 Blob 的客户需要将其“innodb_log_file_size”参数调节为其希望修改的最大 Blob 大小的 10 倍。关于此变化的信息,请参阅:http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html

为了使客户获得安全更新的益处而不会遇到上述兼容性问题,我们发布了 MySQL 5.6 的新次要版本:5.6.19a。该版本包含适用于添加到 MySQL 5.6.19 的 CVE-2014-6491、CVE-2014-6494、CVE-2014-6500 和 CVE-2014-6559 的安全修复。我们将在 2014 年 10 月 28 日 19:00(协调世界时间)至 2014 年 11 月 4 日 18:59(协调世界时间)之间客户规定的维护时段内,将版本为 5.6.19 或更低的所有 MySQL 5.6 实例升级到 5.6.19a。您还可以按自己的选择在维护时段之前的时间,利用“修改”操作升级到此次要版本:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html

请注意,即使您在“自动次要版本升级”选项中选择了“否”,也将进行此强制升级。

如果您已将自己的 MySQL 5.6 实例升级到 MySQL 5.6.21,请查阅上面讨论过的“已知问题和限制”部分,如果适用,请执行该部分中介绍的步骤。

-------------------------------------------------------------------------------------------------

 

 

10 月 16 日,Oracle 公布了影响 MySQL 5.5 和 5.6 的安全漏洞以及相关的软件补丁:http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL。遵循使用访问权限受限安全组的最佳实践指导原则的 RDS 实例,将在其正常维护时段中升级到应用了这些补丁的新版本:MySQL 5.5.40 或 5.6.21。对于被客户配置为可从 Internet 不受限制地访问(例如,CIDR 规则使用后缀 /0)的 RDS 实例,我们建议客户立即将其安全组更改为数据库端口上的入站访问仅限于至数据库的合法连接应起源自的源 IP 地址。这样将可缓解安全漏洞。有关重新配置数据库访问权限的信息,请参阅:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

为了完全解决这些漏洞,数据库实例必须升级到 MySQL 5.5.40 或 5.6.21。Amazon RDS 将于 2014 年 10 月 17 日星期五中午 12:00(太平洋夏令时)之后推出新 MySQL 版本。客户可以选择届时手动升级其实例,也可以等到下一个常规维护时段,以在该时段中自动执行升级。在升级时,您的数据库实例(单可用区或多可用区)将重新启动,并将在几分钟内不可用。

2014 年 10 月 17 日星期五中午 12:00(太平洋夏令时)之后继续允许从 Internet 不受限制地访问的任何 RDS 实例,在该时间之后都将自动升级,而不再等到其维护时段。此外,客户尚未进行升级的 5.5 和 5.6 数据库实例,无论其安全组状态如何,都将在其从 2014 年 10 月 20 日星期一中午 12:00(太平洋夏令时)至 2014 年 10 月 27 日星期一上午 11:59(太平洋夏令时)之间的维护时段内升级。您还可以按自己的选择在维护时段之前的时间,利用“修改”操作进行升级。请注意,即使您在“自动次要版本升级”选项中选择了“否”,也将进行此强制升级。

有关这些漏洞的更多信息,请访问:

有关升级数据库实例的详细信息,请访问:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html