29/10/2014 16h:30 PDT (heure du pacifique) - Mis à jour -
Mise à jour de sécurité pour MySQL 5.1
Nous avons déterminé que certains des problèmes de sécurité annoncés par Oracle pour MySQL 5.5 et 5.6 ici : http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL may affect MySQL 5.1. Comme indiqué dans https://www.mysql.com/support/eol-notice.html, Oracle a transféré MySQL 5.1 vers la prise en charge continue en décembre 2013 et ne fournit plus de correctifs pour celui-ci. Pour continuer à recevoir les correctifs de sécurité et de fiabilité MySQL, nous recommandons aux clients exécutant MySQL 5.1 d'effectuer une mise à niveau majeure vers les dernières versions de MySQL 5.5 ou 5.6, après avoir testé la compatibilité des applications. Plus de détails sur l’exécution de cette mise à jour sont disponibles ici : http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.
Afin de donner aux clients plus de temps pour tester la compatibilité et effectuer une mise à jour majeure de la version, nous avons publié une nouvelle version mineure de MySQL 5.1, 5.1.73a. Cette version comporte les corrections de sécurité pour CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 et CVE-2014-6559 ajoutées à MySQL 5.1.73. Les instances RDS MySQL 5.1 configurées avec la directive des meilleures pratiques d’utilisation des groupes de sécurité à accès restreint seront mises à niveau vers MySQL 5.1.73a pendant leurs fenêtres de maintenance normales entre le 30 octobre 2014 23h:00 UTC et le 6 novembre 2014 22h:59 UTC. Toutes les instances RDS qui sont encore configurées avec des groupes de sécurité qui fournissent un accès illimité depuis Internet (règles d’entrée spécifiant 0.0.0.0/0) avant le 30 octobre 2014 17h:00 UTC seront automatiquement mises à niveau vers 5.1.73a après cette date, avant leur fenêtre de maintenance. Pour plus d’informations sur la reconfiguration de l’accès aux instances RDS, veuillez vous référer à http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Les utilisateurs peuvent également mettre à niveau vers cette version mineure à tout moment avant leur fenêtre de maintenance en utilisant l’opération Modify (modifier) : http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Notez que cette mise à niveau obligatoire aura lieu même dans les cas où l’option « No » (non) est sélectionnée pour la mise à niveau automatique de la version mineure.
-------------------------------------------------------------------------------------------------
24/10/2014 17h:00 PDT (heure du Pacifique) - Mise à jour -
Instances MySQL 5.5 et 5.6 avec des groupes de sécurité configurés pour donner un accès illimité à Internet :
Toutes les instances de MySQL 5.5 et 5.6 qui étaient encore configurées avec un accès non restreint (règle CIDR 0.0.0.0/0) depuis Internet au 17 octobre 2014 à 19h:00 UTC ont été mises à niveau vers MySQL 5.5.40 et 5.6.21 respectivement au 19 octobre 2014.
Instances MySQL 5.5 avec accès restreint depuis Internet :
Nous avons commencé à mettre à jour ces instances de MySQL 5.5 vers 5.5.40 pendant les fenêtres de maintenance définies par le client le 20 octobre 2014 à 22h:30 UTC. Nous terminerons ces mises à niveau d’ici le 27 octobre 2014 à 22h29 UTC.
Instances MySQL 5.6 avec accès restreint depuis Internet :
La mise à niveau des instances 5.6 avec des groupes de sécurité qui ne sont pas ouverts à l’Internet était initialement prévue pour le 20 octobre 2014. Cette mise à jour n’a pas commencé car nous avons identifié une condition où les répliques de lecture de MySQL 5.6 peuvent planter après la mise à jour vers 5.6.21. Ceci est lié au format de stockage MySQL pour les colonnes de date et d’horodatage qui a été introduit dans MySQL 5.6.4 : https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.
A cause de ce changement de format, une réplique en lecture de MySQL 5.6.21 peut planter lorsqu’elle reçoit une transaction en ligne modifiant une colonne de date ou d’horodatage d’un maître MySQL de n’importe quelle version qui a été créée avec (ou mise à jour depuis) une version de MySQL antérieure à 5.6.4. Une option pour régler ce problème est documentée dans la section « Problèmes connus et limites » : http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.
De plus, en raison d’une incompatibilité avec la façon dont les blobs sont journalisés à partir de MySQL 5.6.20, les clients qui souhaitent modifier des blobs de plus de 12,8 Mo devront ajuster leur paramètre « innodb_log_file_size » à 10 fois la taille du plus gros blob qu’ils souhaitent modifier. Pour plus d’informations sur ce changement, veuillez consulter : http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.
Pour permettre aux clients de bénéficier des mises à jour de sécurité sans rencontrer les problèmes de compatibilité ci-dessus, nous avons publié une nouvelle version mineure de MySQL 5.6, 5.6.19a. Cette version comporte les corrections de sécurité pour CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 et CVE-2014-6559 ajoutées à MySQL 5.6.19. Nous mettrons à niveau toutes les instances de MySQL 5.6 qui sont sous 5.6.19 ou avant vers 5.6.19a dans la fenêtre de maintenance définie par le client entre le 28 oct 2014 19h:00 UTC et le 04 nov 2014 18h:59 UTC. Vous pouvez également passer à cette version mineure au moment de votre choix avant votre fenêtre de maintenance en utilisant l’opération Modify (Modifier) : http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.
Notez que cette mise à niveau obligatoire aura lieu même si vous avez sélectionné « No » (non) pour l’option de mise à niveau automatique de la version mineure.
Si vous avez déjà mis à jour vos instances de MySQL 5.6 vers MySQL 5.6.21, veuillez consulter la section « Problèmes connus et limites » discutée ci-dessus et si applicable, prenez les mesures décrites dans cette section.
-------------------------------------------------------------------------------------------------
Le 16 octobre, Oracle a annoncé des vulnérabilités de sécurité et des correctifs logiciels associés affectant MySQL 5.5 et 5.6 : http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. Les instances RDS suivant la directive des meilleures pratiques d’utilisation des groupes de sécurité à accès restreint seront mises à niveau vers MySQL 5.5.40 ou 5.6.21, les nouvelles versions qui ont ces correctifs, pendant leurs fenêtres de maintenance normales. Pour les cas RDS où les clients ont configuré un accès illimité à partir d’Internet (par exemple, les règles CIDR avec le suffixe /0), nous recommandons aux clients de modifier immédiatement leurs groupes de sécurité pour limiter l’accès entrant sur les ports de la base de données aux seules adresses IP sources d’où doivent provenir les connexions légitimes à la base de données. Cela permettra d’atténuer les vulnérabilités en matière de sécurité. Pour plus d’informations sur la reconfiguration de l’accès à votre base de données, allez sur :http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.
Pour résoudre complètement ces vulnérabilités, les instances de votre base de données doivent être mises à niveau vers MySQL 5.5.40 ou 5.6.21. Amazon RDS mettra les nouvelles versions de MySQL à disposition avant 12h:00 PDT (heure du pacifique) le vendredi 17 octobre 2014. Les clients peuvent choisir de mettre à niveau manuellement leurs instances à ce moment-là ou d’attendre la prochaine fenêtre de maintenance régulière pendant laquelle nous effectuerons automatiquement les mises à niveau. Au moment de la mise à niveau de la version, vos instances de base de données (Single-AZ ou Multi-AZ) subiront un redémarrage et seront indisponibles pendant quelques minutes.
Toutes les instances RDS qui continuent à permettre un accès illimité à partir d’Internet avant 12h:00 PDT (heure du pacifique) le vendredi 17 octobre 2014 seront automatiquement mises à niveau après cette heure, avant leur fenêtre de maintenance. De plus, les instances de base de données 5.5 et 5.6 qui n’ont pas encore été mises à niveau par les clients, quel que soit l’état de leurs groupes de sécurité, seront mises à niveau pendant leurs fenêtres de maintenance entre 12h:00 PDT (heure du pacifique) le lundi 20 octobre 2014 et 11h:59 PDT (heure du pacifique) le lundi 27 octobre 2014. Vous pouvez effectuer la mise à niveau à un moment de votre choix avant votre fenêtre de maintenance en utilisant l’opération Modifier. Notez que cette mise à niveau obligatoire aura lieu même si vous avez sélectionné « No » (non) pour l’option de mise à niveau automatique de la version mineure.
Pour plus d’informations sur ces vulnérabilités, veuillez consulter le site :
- La mise à jour du correctif critique d’Oracle concernant ces vulnérabilités (CVE-2014-6491, CVE-2014-6494, CVE-2014-6500, CVE-2014-6559) est disponible à l’adresse http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL
Pour plus d’informations sur la mise à niveau de votre instance de base de données, veuillez visiter le site : http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html