Amazon RDS – MySQL-Sicherheitshinweis

29.10.2014 16:30 UHR (PDT) - Update -

 

Sicherheits-Update für MySQL 5.1

Wir haben festgestellt, dass einige der von Oracle für MySQL 5.5 und 5.6 hier angekündigten Sicherheitsprobleme MySQL 5.1 betreffen können: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL Wie unter https://www.mysql.com/support/eol-notice.html beschrieben, hat Oracle MySQL 5.1 im Dezember 2013 auf Sustaining Support umgestellt und bietet keine Patches mehr dafür an. Um weiterhin MySQL-Sicherheits- und Zuverlässigkeitspatches zu erhalten, empfehlen wir Kunden, die MySQL 5.1 ausführen, nach dem Testen der Anwendungskompatibilität ein Hauptversions-Upgrade auf die neuesten Versionen von MySQL 5.5 oder 5.6 durchzuführen. Weitere Details zur Durchführung dieses Upgrades erhalten Sie hier:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Um Kunden mehr Zeit zum Testen der Kompatibilität und zum Durchführen eines Hauptversions-Upgrades zu geben, haben wir eine neue Nebenversion von MySQL 5.1, 5.1.73a, veröffentlicht. In dieser Version wurden die Sicherheitsupdates für CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 und CVE-2014-6559 zu MySQL 5.1.73 hinzugefügt. MySQL 5.1 RDS-Instanzen, die mit den Best Practices für die Verwendung von Sicherheitsgruppen mit eingeschränktem Zugriff konfiguriert wurden, werden während ihrer normalen Wartungsfenster zwischen dem 30. Oktober 2014, 23:00 UHR ( UTC) und dem 6. November 2014, 22:59 UHR (UTC) auf MySQL 5.1.73a aktualisiert. Alle RDS-Instanzen, die noch mit Sicherheitsgruppen konfiguriert sind, die bis zum 30. Oktober 2014, 17:00 Uhr UTC, einen uneingeschränkten Zugriff über das Internet ermöglichen (Ingress-Regeln, die 0.0.0.0/0 angeben), werden danach automatisch vor deren Wartungsfenster auf 5.1.73a aktualisiert. Informationen zum Neukonfigurieren des Zugriffs auf RDS-Instanzen finden Sie unter: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Benutzer können auch jederzeit vor dem Wartungsfenster ein Upgrade auf diese Nebenversion durchführen, indem sie den Vorgang „Ändern“ ausführen: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Beachten Sie, dass dieses obligatorische Upgrade auch für Instanzen durchgeführt wird, bei denen für die Option "Auto Minor-Versions-Upgrade" die Option "Nein" ausgewählt ist.

-------------------------------------------------------------------------------------------------

 

 

24.10.2014 17:00 UHR (PDT) - Update -



MySQL 5.5- und 5.6-Instanzen mit Sicherheitsgruppen, die für den uneingeschränkten Zugriff auf das Internet konfiguriert sind:

Alle MySQL 5.5- und 5.6-Instanzen, die zum 17. Oktober 2014, 19:00 Uhr UTC noch mit uneingeschränktem Zugriff (CIDR-Regel 0.0.0.0/0) aus dem Internet konfiguriert waren, wurden bis zum 19. Oktober 2014 auf MySQL 5.5.40 bzw. 5.6.21 aktualisiert.

MySQL 5.5-Instanzen mit eingeschränktem Zugriff aus dem Internet:

Wir haben am 20. Oktober 2014 um 22:30 UHR (UTC) begonnen, diese MySQL 5.5-Instanzen in benutzerdefinierten Wartungsfenstern auf 5.5.40 zu aktualisieren. Wir werden diese Aktualisierungen bis zum 27. Oktober 2014 um 22:29 UHR (UTC) abschließen.

MySQL 5.6-Instanzen mit eingeschränktem Zugriff aus dem Internet:

Die Aktualisierung der 5.6-Instanzen mit Sicherheitsgruppen, auf die nicht vom Internet zugegriffen werden kann, sollte ursprünglich am 20. Oktober 2014 beginnen. Diese Aktualisierung wurde nicht gestartet, da eine Bedingung festgestellt wurde, in der MySQL 5.6-Lesereplikate nach dem Upgrade auf 5.6.21 abstürzen können. Dies hängt mit dem MySQL-Speicherformat für Datums- und Zeitstempelspalten zusammen, das in MySQL 5.6.4 eingeführt wurde: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

Aufgrund dieser Formatänderung kann ein MySQL 5.6.21-Lesereplikat abstürzen, wenn es eine zeilenprotokollierte Transaktion empfängt, mit der eine Datums- oder Zeitstempelspalte von einem MySQL-Master einer Version geändert wird, die mit einer früheren als der MySQL-Version 5.6.4 erstellt (oder von dieser aktualisiert) wurde. Eine Option zur Behebung dieses Problems ist im Abschnitt „Bekannte Probleme und Einschränkungen“ dokumentiert: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Aufgrund der Inkompatibilität mit der Protokollierung von Blobs ab MySQL 5.6.20 müssen Kunden, die Blobs ändern möchten, die größer als 12,8 MB sind, ihren Parameter „innodb_log_file_size“ auf das 10-fache der Größe des größten Blobs, das sie ändern möchten, anpassen Informationen zu dieser Änderung finden Sie unter: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Damit Kunden die Vorteile der Sicherheitsupdates nutzen können, ohne auf die oben genannten Kompatibilitätsprobleme zu stoßen, haben wir eine neue Nebenversion von MySQL 5.6, 5.6.19a, veröffentlicht. In dieser Version wurden die Sicherheitsupdates für CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 und CVE-2014-6559 zu MySQL 5.6.19 hinzugefügt. Wir werden alle MySQL 5.6-Instanzen mit Version 5.6.19 oder früher im vom Kunden definierten Wartungsfenster zwischen dem 28. Oktober 2014, 19:00 Uhr UTC und dem 4. November 2014, 18:59 UHR (UTC) auf 5.6.19a aktualisieren. Sie können auch vor dem Wartungsfenster ein Upgrade auf diese Nebenversion durchführen, indem Sie den Vorgang „Ändern“ ausführen: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Beachten Sie, dass dieses obligatorische Upgrade auch durchgeführt wird, wenn Sie für die Option „Auto Minor-Versions-Upgrade“ die Option „Nein“ ausgewählt haben.

Wenn Sie Ihre MySQL 5.6-Instanzen bereits auf MySQL 5.6.21 aktualisiert haben, lesen Sie den Abschnitt „Bekannte Probleme und Einschränkungen“, der oben beschrieben wurde, und führen Sie gegebenenfalls die in diesem Abschnitt beschriebenen Schritte aus.

-------------------------------------------------------------------------------------------------

 

 

Am 16. Oktober kündigte Oracle Sicherheitslücken und zugehörige Software-Patches für MySQL 5.5 und 5.6 an:http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. RDS-Instanzen, die den Best Practices für die Verwendung von Sicherheitsgruppen mit eingeschränktem Zugriff folgen, werden während ihrer normalen Wartungsfenster auf MySQL 5.5.40 oder 5.6.21, die neuen Versionen mit diesen Patches, aktualisiert. Für RDS-Instanzen, in denen Kunden einen uneingeschränkten Zugriff aus dem Internet konfiguriert haben (z. B. CIDR-Regeln mit dem Suffix / 0), empfehlen wir, dass Kunden ihre Sicherheitsgruppen sofort ändern, um den eingehenden Zugriff auf Datenbankports nur auf die Quell-IP-Adressen zu beschränken, von denen aus legitime Verbindungen zur bestehen Datenbank stammen. Dies verringert die Sicherheitslücken. Informationen zum Neukonfigurieren des Zugriffs auf Ihre Datenbank finden Sie unter: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Um diese Sicherheitsanfälligkeiten vollständig zu beheben, müssen Ihre Datenbankinstanzen auf MySQL 5.5.40 oder 5.6.21 aktualisiert werden. Amazon RDS wird die neuen MySQL-Versionen am Freitag, den 17. Oktober 2014, ab 12:00 UHR (PDT) verfügbar machen. Kunden können ihre Instanzen zu diesem Zeitpunkt manuell aktualisieren oder auf das nächste reguläre Wartungsfenster warten, in dem die Aktualisierungen automatisch durchgeführt werden. Zum Zeitpunkt des Upgrades werden Ihre Datenbankinstanzen (entweder Single-AZ oder Multi-AZ) neu gestartet und sind für einige Minuten nicht verfügbar.

Alle RDS-Instanzen, die am Freitag, den 17. Oktober 2014, bis 12:00 UHR (PDT) den uneingeschränkten Zugriff aus dem Internet zulassen, werden vor ihrem Wartungsfenster automatisch nach dieser Zeit aktualisiert. Darüber hinaus werden 5.5- und 5.6-Datenbankinstanzen, die noch nicht von Kunden aktualisiert wurden, unabhängig vom Status ihrer Sicherheitsgruppen, während ihrer Wartungsfenster zwischen Montag dem 20. Oktober 2014 12:00 UHR (PDT) und Montag 27. Oktober 2014 11:59 UHR (PDT) aktualisiert. Sie können zu einem Zeitpunkt Ihrer Wahl vor dem Wartungsfenster ein Upgrade durchführen, indem Sie den Vorgang „Ändern“ verwenden. Beachten Sie, dass dieses obligatorische Upgrade auch durchgeführt wird, wenn Sie für die Option „Auto Minor-Versions-Upgrade“ die Option „Nein“ ausgewählt haben.

Weitere Informationen zu diesen Sicherheitslücken finden Sie unter:

Weitere Informationen zum Upgraden Ihrer Datenbank-Instanz erhalten Sie unter: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html