Amazon RDS: nota oficial sobre seguridad de MySQL

29/10/2014, 16:30 h PDT, actualización

 

Actualización de seguridad para MySQL 5.1

Hemos determinado que algunos de los problemas de seguridad anunciados para Oracle for MySQL 5.5 y 5.6 en http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL podrían afectar a MySQL 5.1. Tal y como se describe en https://www.mysql.com/support/eol-notice.html, Oracle puso fin al ciclo de vida de MySQL 5.1 en diciembre de 2013 y, por tanto, ya no recibe parches de actualización. Para seguir recibiendo parches de seguridad y fiabilidad de MySQL, recomendamos que los clientes que ejecutan MySQL 5.1 actualicen a las últimas versiones de MySQL 5.5 o 5.6 después de comprobar la compatibilidad de la aplicación. Puede encontrar más información sobre esta actualización en el siguiente enlace: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Para ofrecer a los clientes más tiempo para comprobar la compatibilidad y realizar una actualización a una versión superior, hemos lanzado una nueva versión menor de MySQL 5.1, la versión 5.1.73a. Esta versión cuenta con los remedios de seguridad para CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 y CVE-2014-6559. Las instancias de RDS de MySQL 5.1 configuradas con las prácticas recomendadas de acceso restringido para grupos de seguridad se actualizarán a MySQL 5.1.73a durante sus periodos de mantenimiento habituales entre el 30 de octubre de 2014 a las 23:00 h UTC y el 6 de noviembre de 2014 a las 22:59 h UTC. Cualquier instancia de RDS que siga configurada con grupos de seguridad que ofrezcan acceso sin restricciones desde Internet (reglas de ingreso que especifiquen 0.0.0.0/0) a fecha del 30 de octubre de 2014 a las 17:00 h UTC se actualizarán en ese momento de forma automática a la versión 5.1.73a antes de su periodo de mantenimiento. Para obtener más información sobre la reconfiguración del acceso a instancias de RDS, consulte: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. También puede actualizar la instancia a esta versión menor en el momento que desee antes del período de mantenimiento mediante la operación Modify (Modificar) como se describe en http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Tenga en cuenta que esta actualización obligatoria tendrá lugar hasta para las instancias que tengan seleccionada la opción “No” en la configuración Auto Minor Version Upgrade (Actualización automática a versión menor).

-------------------------------------------------------------------------------------------------

 

 

24/10/2014, 17:00 h PDT: actualización



Las instancias de MySQL 5.5 y 5.6 con grupos de seguridad configurados para ofrecer acceso sin restricciones a Internet:

Todas las instancias de MySQL 5.5 y 5.6 que sigan configuradas para ofrecer acceso sin restricciones (regla CIDR 0.0.0.0/0) desde Internet a fecha de 17 de octubre de 2014 a las 19:00 h UTC se actualizarán a MySQL 5.5.40 y 5.6.21 respectivamente a partir del 19 de octubre de 2014.

Instancias de MySQL 5.5 con acceso sin restricciones desde Internet:

Comenzamos a actualizar estas instancias de MySQL 5.5 a la versión 5.5.40 durante los periodos de mantenimientos definidos por el cliente el 20 de octubre de 2014 a las 22:30 h UTC. Completaremos estas actualizaciones el 27 de octubre de 2014 a las 22:29 h UTC.

Instancias de MySQL 5.6 con acceso sin restricciones desde Internet:

La actualización de las instancias 5.6 con grupos de seguridad que no están abiertos a Internet estaba programada inicialmente para comenzar el 20 de octubre de 2014. Sin embargo, no se ha iniciado dicha actualización porque hemos identificado una condición según la cual las réplicas de lectura de MySQL 5.6 pueden bloquearse después de la actualización a la versión 5.6.21. Está relacionado con el formato de almacenamiento de MySQL para columnas de marca de tiempo y fecha que se implementó en MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

Debido a este cambio del formato, una réplica de lectura de MySQL 5.6.21 puede bloquearse cuando recibe una transacción basada en filas que modifica una columna de marca de tiempo o fecha desde un MySQL maestro de cualquier versión creada o actualizada desde una versión de MySQL anterior a la versión 5.6.4. Se ofrece información sobre una opción para abordar este problema en la sección “Known Issues and Limitations” (Problemas y limitaciones conocidos): http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Además, debido a una incompatibilidad con el registro de blobs desde MySQL 5.6.20, los clientes que deseen modificar blobs superiores a 12,8 MB necesitarán ajustar su parámetro “innodb_log_file_size” a un tamaño diez veces superior al del blob de mayor tamaño que quieran modificar. Para obtener más información sobre este cambio, consulte: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Para brindar a los clientes los beneficios de las actualizaciones de seguridad sin enfrentarse a los problemas de compatibilidad anteriores, hemos lanzado una nueva versión menor de MySQL5.6, la versión 5.6.19a. Esta versión cuenta con los remedios de seguridad para CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 y CVE-2014-6559. Actualizaremos todas las instancias de MySQL 5.6 en 5.6.19 o anterior a 5.6.19a en el periodo de mantenimiento definido por el cliente entre el 28 de octubre de 2014 a las 19:00 h UTC y el 4 de noviembre de 2014 a las 18:59 h UTC. También puede actualizar la instancia a esta versión menor en el momento que desee antes del período de mantenimiento mediante la operación Modify (Modificar) como se describe en http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Tenga en cuenta que esta actualización obligatoria tendrá lugar incluso si selecciono la opción “No” en la configuración “Auto Minor Version Upgrade” (Actualización automática a versión menor).

Si ya ha actualizado sus instancias de MySQL 5.6 a MySQL 5.6.21, consulte la sección “Known Issues and Limitations” (Problemas y limitaciones conocidos) que se ha mencionado anteriormente y, si se aplica, aplique los pasos descritos.

-------------------------------------------------------------------------------------------------

 

 

El 16 de octubre, Oracle anunció vulnerabilidades de seguridad y parches de software relacionados que afectaban a MySQL 5.5 y 5.6: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. Las instancias que siguen las prácticas recomendadas de uso de grupos de seguridad de acceso restringido se actualizarán a MySQL 5.5.40 o 5.6.21, las versiones nuevas que cuentan con esos parches, durante sus periodos de mantenimiento habituales. Para las instancias RDS en las que los clientes han configurado acceso sin restricciones desde Internet (por ejemplo, reglas CIDR con el sufijo /0), recomendamos a los clientes que modifiquen de inmediato sus grupos de seguridad para restringir el acceso entrante en los puertos de la base de datos exclusivamente a aquellas direcciones IP cuyo origen pueda establecer conexiones legítimas con la base de datos. De esta forma, se mitigarán las vulnerabilidades de seguridad. Para obtener más información sobre la reconfiguración del acceso a su base de datos, consulte: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Para abordar de forma completa estas vulnerabilidades, sus instancias de base de datos deben actualizarse a MySQL 5.5.40 o 5.6.21. Amazon RDS publicará las nuevas versiones de MySQL el viernes 17 de octubre de 2014 a las 12:00 h PDT. Los clientes pueden elegir actualizar de forma manual sus instancias en ese momento o esperar al próximo periodo de mantenimiento establecido durante el cual realizaremos de forma automática las actualizaciones. Cuando se realice la actualización, las instancias de base de datos (ya sea Single-AZ o Multi-AZ) se reiniciarán y no estarán disponibles durante unos minutos.

Cualquier instancia de RDS que siga ofreciendo acceso sin restricciones desde Internet a partir del viernes 17 de octubre de 2014 a las 12:00 h PDT, será actualizada de forma automática a partir de ese momento, antes de su periodo de mantenimiento. Además, las instancias de base de datos 5.5 y 5.6 que sus clientes no hayan actualizado, sin importar el estado de sus grupos de seguridad, serán actualizadas durante sus periodos de mantenimiento entre el lunes 20 de octubre de 2014 a las 12:00 h PDT y el lunes 27 de octubre de 2014 a las 11:59 h PDT. Puede realizar la actualización cuando lo desee antes de su periodo de mantenimiento mediante la operación Modify (Modificar). Tenga en cuenta que esta actualización obligatoria tendrá lugar incluso si selecciono la opción “No” en la configuración “Auto Minor Version Upgrade” (Actualización automática a versión menor).

Para obtener más información sobre estas vulnerabilidades, visite:

Para obtener más información sobre cómo actualizar su instancia de base de datos, visite: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html