Amazon RDS – Petunjuk Keamanan MySQL

29/10/2014 16.30 PDT - Pembaruan -

 

Pembaruan keamanan untuk MySQL 5.1

Kami telah menetapkan bahwa beberapa masalah keamanan yang diumumkan oleh Oracle for MySQL 5.5 dan 5.6 di sini: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL dapat memengaruhi MySQL 5.1. Seperti dijelaskan di https://www.mysql.com/support/eol-notice.html, Oracle memindahkan MySQL 5.1 ke Dukungan Berkelanjutan pada bulan Desember 2013 dan tidak lagi menyediakan penambalan untuknya. Untuk tetap menerima tambalan keamanan dan keandalan MySQL, kami menganjurkan agar pelanggan yang menjalankan MySQL 5.1 melakukan peningkatan versi mayor ke versi terbaru MySQL 5.5 atau 5.6 setelah menguji kompatibilitas aplikasi. Rincian lebih lanjut tentang proses peningkatan versi ini tersedia di sini: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Untuk memberikan waktu kepada pelanggan guna menguji kompatibilitas dan melakukan peningkatan versi mayor, kami juga telah merilis versi minor MySQL 5.1, 5.1.73a. Versi ini memiliki perbaikan keamanan untuk CVE-2014-6491, CVE-2014-6494, CVE-2014-6500, dan CVE-2014-6559 yang ditambahkan ke MySQL 5.1.73. Instans MySQL 5.1 RDS yang dikonfigurasi sesuai panduan praktik terbaik terkait penggunaan grup keamanan akses terbatas akan ditingkatkan versinya ke MySQL 5.1.73a selama jendela pemeliharaan normalnya antara 30 Oktober 2014 23.00 UTC dan 06 November 2014 22.59 UTC. Instans RDS apa pun yang masih dikonfigurasi dengan grup keamanan yang memberikan akses tak terbatas dari Internet (aturan ingress menentukan 0.0.0.0/0) hingga 30 Oktober 2014 17.00 UTC akan otomatis ditingkatkan versinya ke 5.1.73a setelah waktu tersebut, sebelum jendela pemeliharaannya. Untuk informasi tentang mengonfigurasi ulang akses ke instans RDS, harap rujuk http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Pengguna juga dapat meningkatkan versi ke versi minor ini kapan saja sebelum jendela pemeliharaannya menggunakan operasi Modify: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Perhatikan bahwa peningkatkan versi wajib ini akan diterapkan bahkan untuk instans dengan opsi Peningkatan Versi Minor Otomatis yang diatur ke ‘Tidak’.

-------------------------------------------------------------------------------------------------

 

 

24/10/2014 17.00 PDT - Pembaruan -



Instans MySQL 5.5 dan 5.6 dengan grup keamanan yang dikonfigurasi untuk memberikan akses tidak terbatas ke Internet:

Semua instans MySQL 5.5 dan 5.6 yang masih dikonfigurasi dengan akses tak terbatas (aturan CIDR 0.0.0.0/0) dari Internet hingga 17 Oktober 2014 19.00 UTC telah ditingkatkan versinya ke MySQL 5.5.40 dan 5.6.21 berturut-turut selambat-lambatnya pada 19 Oktober 2014.

Instans MySQL 5.5 dengan akses terbatas dari Internet:

Kami mulai meningkatkan versi instans MySQL 5.5 ini ke 5.5.40 selama jendela pemeliharaan yang ditentukan pelanggan pada 20 Oktober 2014 22.30 UTC. Kami akan menyelesaikan peningkatan versi ini selambat-lambatnya 27 Oktober 2014 22.29 UTC.

Instans MySQL 5.6 dengan akses terbatas dari Internet:

Meningkatkan versi instans 5.6 dengan grup keamanan yang tidak terbuka ke Internet pada awalnya dijadwalkan untuk dimulai pada 20 Oktober 2014. Peningkatan versi ini belum dimulai karena kami telah mengidentifikasi kondisi yang mana replika baca MySQL 5.6 dapat terhenti setelah peningkatan versi ke 5.6.21. Hal ini terkait dengan format penyimpanan MySQL untuk kolom tanggal dan stempel waktu yang diperkenalkan di MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

Karena perubahan format ini, replika baca MySQL 5.6.21 bisa terhenti saat menerima transaksi row-logged yang memodifikasi kolom tanggal atau stempel waktu dari master MySQL versi apa pun yang dibuat dengan (atau ditingkatkan versinya dari) versi MySQL yang lebih rendah dari 5.6.4. Opsi untuk menangani masalah ini didokumentasikan dalam bagian “Keterbatasan dan Masalah Umum”: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Selain itu, karena ketidakkompatibelan dengan cara blob disimpan dalam log mulai di versi MySQL 5.6.20, pelanggan yang ingin memodifikasi blob yang lebih besar dari 12,8 MB akan perlu menyesuaikan parameter "innodb_log_file_size" mereka 10 kali ukuran blob terbesar yang ingin mereka modifikasi. Untuk menemukan informasi tentang perubahan ini, lihat: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Untuk memberikan manfaat pembaruan keamanan ini tanpa mengalami masalah kompatibilitas di atas, kami telah merilis versi minor MySQL 5.6 baru, 5.6.19a. Versi ini memiliki perbaikan keamanan untuk CVE-2014-6491, CVE-2014-6494, CVE-2014-6500, dan CVE-2014-6559 yang ditambahkan ke MySQL 5.6.19. Kami akan meningkatkan versi semua instans MySQL 5.6 yang ada di 5.6.19 ke bawah menjadi 5.6.19a dalam jendela pemeliharaan yang ditentukan pelanggan antara tanggal 28 Oktober 2014 19.00 UTC dan 04 November 2014 18.59 UTC. Pengguna juga dapat meningkatkan versi ke versi minor ini kapan saja sebelum jendela pemeliharaannya menggunakan operasi Modify: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Perhatikan bahwa peningkatkan versi wajib ini akan diterapkan meskipun Anda memilih ‘Tidak’ untuk opsi Peningkatan Versi Minor Otomatis.

Jika Anda telah meningkatkan versi instans MySQL 5.6 Anda ke MySQL 5.6.21, lihat bagian “Keterbatasan dan Masalah Umum” yang dibahas di atas dan jika sesuai, lakukan langkah-langkah yang dijelaskan di bagian tersebut.

-------------------------------------------------------------------------------------------------

 

 

Pada 16 Oktober, Oracle mengumumkan kerentanan keamanan dan tambalan perangkat lunak terkait yang memengaruhi MySQL 5.5 dan 5.6: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. Instans RDS yang sesuai dengan panduan praktik terbaik terkait penggunaan grup keamanan akses terbatas akan ditingkatkan versinya ke MySQL 5.5.40 atau 5.6.21, versi baru yang memiliki tambalan ini, selama jendela pemeliharaan normalnya. Untuk instans RDS yang mana pelanggan telah mengonfigurasi akses tak terbatas dari Internet (misalnya, aturan CIDR dengan suffiks /0), sebaiknya pelanggan segera mengubah grup keamanan mereka agar membatasi akses masuk di port database hanya untuk alamat IP sumber dengan koneksi sah ke tempat asal koneksi yang sah ke database. Hal ini akan mengurangi kerentanan keamanan. Untuk informasi tentang mengonfigurasi ulang akses ke database Anda, harap rujuk http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Untuk menangani kerentanan ini sepenuhnya, instans database Anda harus ditingkatkan versinya ke MySQL 5.5.40 atau 5.6.21. Amazon RDS akan menyediakan versi MySQL baru pada pukul 12.00 PDT hari Jumat, 17 Oktober 2014. Pelanggan dapat memilih untuk meningkatkan versi instans mereka secara manual saat itu atau menunggu jendela pemeliharaan rutin selanjutnya saat kami akan melakukan peningkatan versi secara otomatis. Saat proses peningkatan versi, instans database Anda (baik Single-AZ atau Multi-AZ) akan mengalami reboot dan tidak akan tersedia selama beberapa menit.

Instans RDS apa pun yang terus mengizinkan akses tidak terbatas dari Internet hingga pukul 12.00 PDT hari Jumat, 17 Oktober 2014 akan otomatis ditingkatkan versinya setelah itu, sebelum jendela pemeliharaannya. Selain itu, instans database 5.5 dan 5.6 yang belum ditingkatkan versinya oleh pelanggan, terlepas dari status grup keamanannya, akan ditingkatkan versinya selama jendela pemeliharaan antara pukul 12.00 PDT hari Minggu, 20 Oktober 2014 dan 11.59 PDT hari Minggu, 27 Oktober 2014. Anda dapat meningkatkan versi pada waktu pilihan Anda sebelum jendela pemeliharaan menggunakan operasi Modify. Perhatikan bahwa peningkatkan versi wajib ini akan diterapkan meskipun Anda memilih ‘Tidak’ untuk opsi Peningkatan Versi Minor Otomatis.

Untuk informasi lebih lanjut tentang kerentanan ini, buka:

Untuk informasi lebih lanjut tentang meningkatkan instans database Anda, harap kunjungi: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html