Amazon RDS - MySQL Security Advisory

2014/10/29 16:30 PDT - Aggiornamento -

 

Aggiornamento di sicurezza per MySQL 5.1

Abbiamo rilevato che alcuni dei problemi di sicurezza annunciati da Oracle per MySQL 5.5 e 5.6 qui: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL potrebbero interessare MySQL 5.1. Come descritto in https://www.mysql.com/support/eol-notice.html, Oracle ha trasferito MySQL 5.1 al programma di supporto Sustaining Support a dicembre 2013 e non fornisce più le relative patch. Per continuare a ricevere le patch di sicurezza e affidabilità per MySQL, consigliamo ai clienti che eseguono MySQL 5.1 di effettuare un aggiornamento di versione principale passando alle ultime versioni di MySQL 5.5 o 5.6 dopo averne testato la compatibilità applicativa. Maggiori dettagli sull'esecuzione di questo aggiornamento sono disponibili qui: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Per lasciare ai clienti più tempo per testare la compatibilità ed eseguire un aggiornamento di versione principale, abbiamo pubblicato anche una nuova versione secondaria di MySQL 5.1, la 5.1.73a. Questa versione comprende le correzioni di sicurezza per CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 e CVE-2014-6559 aggiunte a MySQL 5.1.73. Le istanze RDS di MySQL 5.1 configurate secondo le linee guida sulle buone pratiche, che suggeriscono di utilizzare gruppi di sicurezza con accesso limitato, saranno aggiornate alla versione MySQL 5.1.73a durante la finestra di manutenzione ordinaria, tra le 23:00 UTC del 30 ottobre 2014 e le 22:59 UTC del 6 novembre 2014. Le istanze RDS ancora configurate con gruppi di sicurezza che consentono un accesso illimitato da Internet (regole di ingresso che specificano 0.0.0.0/0) alle 17:00 UTC del 30 ottobre 2014 saranno automaticamente aggiornate alla versione 5.1.73a allo scadere di tale ora, prima della finestra di manutenzione. Per maggiori informazioni sulla riconfigurazione delle istanze RDS, consulta: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Gli utenti possono anche effettuare l'aggiornamento a questa versione secondaria prima della finestra di manutenzione utilizzando l'operazione Modifica: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Informiamo che questo aggiornamento obbligatorio sarà applicato anche alle istanze per le quali l'opzione di Aggiornamento automatico di versioni secondarie è stato selezionato "No".

-------------------------------------------------------------------------------------------------

 

 

2014/10/24 17:00 PDT - Aggiornamento -



Istanze di MySQL 5.5 e 5.6 con gruppi di sicurezza configurati per fornire un accesso illimitato a Internet:

Tutte le istanze di MySQL 5.5 e 5.6 che erano ancora configurate con accesso illimitato da Internet (regola CIDR 0.0.0.0/0) alle 19:00 UTC del 17 ottobre 2014 sono state aggiornate rispettivamente alle versioni di MySQL 5.5.40 e 5.6.21 entro il 19 ottobre 2014.

Istanze di MySQL 5.5 con accesso limitato da Internet:

Abbiamo cominciato ad aggiornare queste istanze di MySQL 5.5 alla versione 5.5.40 durante le finestre di manutenzione prestabilite per i clienti il 20 ottobre 2014 alle 22:30 UTC. Completeremo questi aggiornamenti entro il 27 ottobre 2014 alle 22:29 UTC.

Istanze di MySQL 5.6 con accesso limitato da Internet:

L'aggiornamento delle istanze 5.6 con gruppi di sicurezza non aperti a Internet doveva originariamente iniziare il 20 ottobre 2014. L'aggiornamento non è iniziato perché abbiamo scoperto una condizione in cui le repliche di lettura di MySQL 5.6 potevano arrestarsi dopo l'aggiornamento alla versione 5.6.21. Questa condizione è associata al formato di storage di MySQL per le colonne di data e time stamp, che è stato introdotto in MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

A causa di questa variazione di formato, la replica di lettura di MySQL 5.6.21 può arrestarsi quando riceve una transazione con registro di righe che modifica una colonna di data o time stamp da un master MySQL di qualsiasi versione creata con (o aggiornata da) una versione di MySQL precedente alla 5.6.4. Un'opzione per risolvere questo problema è riportata nella sezione "Problemi noti e limitazioni": http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Inoltre, a causa di un'incompatibilità con il registro dei blob a partire da MySQL 5.6.20, i clienti che desiderano modificare dei blob con dimensioni superiori a 12,8 MB dovranno modificare il parametro "innodb_log_file_size" impostandolo a 10 volte la dimensione del blob più grande che intendono modificare. Per informazioni su questa modifica, consulta: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Per offrire ai clienti i vantaggi degli aggiornamenti di sicurezza senza riscontrare i problemi di compatibilità elencati sopra, abbiamo rilasciato una nuova versione secondaria di MySQL 5.6, la 5.6.19a. Questa versione comprende le correzioni di sicurezza per CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 e CVE-2014-6559 aggiunte a MySQL 5.6.19. Aggiorneremo tutte le istanze di MySQL 5.6 con versione 5.6.19 o precedente alla versione 5.6.19a durante la finestra di manutenzione prestabilita per i clienti, tra le 19:00 UTC del 28 ottobre 2014 e le 18:59 UTC del 4 novembre 2014. Puoi anche effettuare l'aggiornamento a questa versione secondaria quando preferisci prima della finestra di manutenzione utilizzando l'operazione Modifica: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Informiamo che questo aggiornamento obbligatorio sarà applicato anche se hai selezionato "No" all'opzione di Aggiornamento automatico di versioni secondarie.

Se hai già aggiornato le tue istanze MySQL 5.6 a MySQL 5.6.21, consulta la sezione "Problemi noti e limitazioni" sopra citata e adotta le misure in essa descritte, se applicabili.

-------------------------------------------------------------------------------------------------

 

 

Il 16 ottobre, Oracle ha annunciato delle vulnerabilità di sicurezza e le patch software associate che interessano MySQL 5.5 e 5.6: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. Le istanze RDS configurate secondo le linee guida sulle buone pratiche, che suggeriscono di utilizzare gruppi di sicurezza con accesso limitato, saranno aggiornate alle versioni di MySQL 5.5.40 o 5.6.21, le nuove versioni che comprendono queste patch, durante la finestra di manutenzione ordinaria. Per le istanze RDS configurate con un accesso illimitato da Internet (es. regole CIDR con suffisso /0), consigliamo ai clienti di modificare immediatamente i gruppi di sicurezza al fine di restringere l'accesso in entrata sulle porte del database esclusivamente agli indirizzi IP sorgente da cui possono avere origine delle connessioni legittime al database. Questo limiterà le vulnerabilità di sicurezza. Per maggiori informazioni sulla riconfigurazione dell'accesso al tuo database, consulta http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Per risolvere del tutto queste vulnerabilità, le tue istanze del database devono essere aggiornate a MySQL 5.5.40 o 5.6.21. Amazon RDS renderà disponibili nuove versioni di MySQL entro le 12:00 PDT di venerdì 17 ottobre 2014. I clienti possono scegliere se aggiornare manualmente le istanze in tale data oppure se attendere la successiva finestra di manutenzione ordinaria, durante la quale effettueremo gli aggiornamenti in modo automatico. Al momento dell'aggiornamento di versione, le istanze (Single-AZ o Multi-AZ) del database saranno riavviate, pertanto risulteranno non disponibili per qualche minuto.

Le istanze RDS ancora configurate con accesso illimitato da Internet alle 12:00 PDT di venerdì 17 ottobre 2014 saranno automaticamente aggiornate dopo tale ora, prima della finestra di manutenzione. Inoltre, le istanze del database 5.5 e 5.6 che non sono ancora state aggiornate dai clienti, a prescindere dallo stato dei loro gruppi di sicurezza, saranno aggiornate durante le finestre di manutenzione tra le 12:00 PDT di lunedì 20 ottobre 2014 e le 11:59 PDT di lunedì 27 ottobre 2014. Puoi effettuare l'aggiornamento quando preferisci prima della finestra di manutenzione utilizzando l'operazione Modifica. Informiamo che questo aggiornamento obbligatorio sarà applicato anche se hai selezionato "No" all'opzione di Aggiornamento automatico di versioni secondarie.

Per ulteriori informazioni su queste vulnerabilità, visita:

Per maggiori informazioni sull'aggiornamento dell'istanza database, visita: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html