Amazon RDS – MySQL セキュリティアドバイザリ

2014 年 10 月 29 日午後 4 時 30 分 (大洋平標準時) - 更新

 

MySQL 5.1 のセキュリティ更新

MySQL 5.5 および 5.6 に関して Oracle が発表したセキュリティ上の問題のいくつかをこちら (http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL) で確認しました。https://www.mysql.com/support/eol-notice.html で説明されているように、Oracle は 2013 年 12 月に MySQL 5.1 を Sustaining Support に移行し、パッチの提供を中止しました。MySQL のセキュリティと信頼性のパッチを引き続き受け取るには、MySQL 5.1 を実行しているお客様は、アプリケーションの互換性をテストした後、リリースされ次第、MySQL 5.5 または 5.6 へのメジャーバージョンアップグレードを行うことをお勧めします。このアップグレードの実行については、http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html を参照してください。

互換性をテストしてメジャーバージョンアップグレードを実行する時間をお客様に提供するために、新しいマイナー MySQL 5.1 バージョン 5.1.73a をリリースしました。このバージョンには、MySQL 5.1.73 に追加された CVE-2014-6491、CVE-2014-6494、CVE-2014-6500 および CVE-2014-6559 のセキュリティ修正が含まれています。アクセス制限セキュリティグループの使用に関するベストプラクティスガイドラインで構成された MySQL 5.1 RDS インスタンスは、2014 年 10 月 30 日午後 11 時 (協定世界時)〜2014 年 11 月 6 日午後 10 時 59 分 (協定世界時) の通常のメンテナンス期間中に MySQL 5.1.73a にアップグレードされます。2014 年 10 月 30 日午後 5 時 (協定世界時) までにインターネットからの無制限のアクセスを提供するセキュリティグループ (0.0.0.0/0 を指定するイングレスルール) で構成されている RDS インスタンスは、その時間以降にメンテナンスウィンドウの前に 5.1.73a に自動的にアップグレードされます。RDS インスタンスへのアクセスの再設定については、http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html を参照してください。ユーザーは、こちら (http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html) から変更操作を使用して、メンテナンスウィンドウの前にいつでもこのマイナーバージョンにアップグレードできます。この必須のアップグレードは、[自動マイナーバージョンアップグレード] オプションで [いいえ] が選択されているインスタンスでも実行されます。

-------------------------------------------------------------------------------------------------

 

 

2014 年 10 月 24 日午後 5 時 (大洋平標準時) - 更新



インターネットへの無制限のアクセスを許可するように設定されたセキュリティグループを持つ MySQL 5.5 および 5.6 インスタンス:

2014 年 10 月 17 日午後 7 時 (協定世界時) からインターネットからの無制限アクセス (CIDRルール0.0.0.0/0) で構成されたすべての MySQL 5.5 および 5.6 インスタンスは、2014 年 10 月 19 日までにそれぞれ MySQL 5.5.40 および 5.6.21 にアップグレードされました。

インターネットからのアクセスが制限されている MySQL 5.5 インスタンス:

2014 年 10 月 20 日午後 10 時 30 分 (協定世界時) にお客様が定義したメンテナンス期間中に、これらの MySQL 5.5 インスタンスの 5.5.40 へのアップグレードを開始しました。これらのアップグレードは、2014 年 10 月 27 日午後 10 時 29 分 (協定世界時) に完了します。

インターネットからのアクセスが制限されている MySQL 5.6 インスタンス:

インターネットに開かれていないセキュリティグループを使用した 5.6インスタンスのアップグレードは、2014 年 10 月 20 日に開始する予定でした。5.6.21 へのアップグレード後に MySQL 5.6 リードレプリカがクラッシュする可能性がある状況を特定したため、このアップグレードは開始されていません。これは、MySQL 5.6.4 で導入された日付およびタイムスタンプ列の MySQL ストレージ形式 ( https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html) に関連しています。

この形式の変更により、MySQL 5.6.21 リードレプリカは、5.6.4 より以前の MySQL バージョンで作成された (または MySQL バージョンからアップグレードされた) バージョンの MySQL マスターから日付またはタイムスタンプ列を変更する行ログトランザクションを受信するとクラッシュする場合があります。この問題に対処するオプションは、「既知の問題と制限」セクション (http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations) に記載されています。

さらに、MySQL 5.6.20 以降ではBLOB の記録方法との互換性がないため、12.8 MB を超える BLOB を変更する場合は、「innodb_log_file_size」パラメータを変更する、最大 BLOB サイズの 10 倍に調整する必要があります。この変更の詳細については、http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html を参照してください。

上記の互換性の問題に遭遇することなく、セキュリティアップデートの利点をお客様に提供するために、新しいマイナーな MySQL 5.6 バージョン、5.6.19a をリリースしました。このバージョンには、MySQL 5.6.19 に追加された CVE-2014-6491、CVE-2014-6494、CVE-2014-6500 および CVE-2014-6559 のセキュリティ修正が含まれています。5.6.19 以前のすべての MySQL 5.6 インスタンスを、2014 年 10 月 28 日午後 7 時 (協定世界時)〜2014 年 11 月 4 日午後 6 時 59 分 (協定世界時) の間に顧客定義のメンテナンスウィンドウで 5.6.19a にアップグレードします。こちら (http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html) から変更操作を使用して、メンテナンスウィンドウの前に選択したときにこのマイナーバージョンにアップグレードすることもできます。

[自動マイナーバージョンアップグレード] オプションで [いいえ] を選択した場合でも、この必須アップグレードが実行されるのでご注意ください。

MySQL 5.6 インスタンスを MySQL 5.6.21 にすでにアップグレードしている場合は、上記の「既知の問題と制限」セクションを確認し、該当する場合はそのセクションで説明されている手順を実行してください。

-------------------------------------------------------------------------------------------------

 

 

Oracle は 10 月 16 日に、MySQL 5.5 および 5.6 に影響を与えるセキュリティ脆弱性と関連ソフトウェアパッチ (http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL) を発表しました。アクセス制限セキュリティグループの使用に関するベストプラクティスガイドラインに従った RDS インスタンスは、通常のメンテナンス期間中に、これらのパッチを含む新しいバージョンである MySQL 5.5.40 または 5.6.21 にアップグレードされます。インターネットからの無制限のアクセスを構成した RDS インスタンス (たとえば、末尾/0 の CIDR ルール) の場合、データベースポートへのインバウンドアクセスを、データベースへの正当な接続の発信元であるソース IP アドレスのみに制限するように、すぐにセキュリティグループを変更することをお勧めします。これにより、セキュリティの脆弱性が緩和されます。データベースへのアクセスの再設定については、http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html を参照してください。

これらの脆弱性に完全に対処するには、データベースインスタンスを MySQL 5.5.40 または 5.6.21 にアップグレードする必要があります。Amazon RDS は、2014 年 10 月 17 日金曜日の午後 12 時 (太平洋夏時間) までに新しい MySQL バージョンを利用できるようにします。お客様は、その時点でインスタンスを手動でアップグレードするか、アップグレードが自動的に実行される次の定期メンテナンスウィンドウを待つことを選択できます。アップグレード時に、データベースインスタンス (シングル AZ またはマルチ AZ) が再起動され、数分間利用できなくなります。

2014 年 10 月 17 日金曜日の午後 12 時 (太平洋夏時間) までにインターネットからの無制限のアクセスを許可し続ける RDS インスタンスは、メンテナンスウィンドウの前に、それ以降は自動的にアップグレードされます。さらに、セキュリティグループの状態に関係なく、顧客によってまだアップグレードされていない 5.5 および 5.6 データベースインスタンスは、2014 年 10 月 20 日月曜日の午後 12 時 (太平洋夏時間) から 2014 年 10 月 27 日月曜日の午前 11 時 59 分 (太平洋夏時間) までのメンテナンス時間帯にアップグレードされます。変更操作を使用して、メンテナンスウィンドウの前に選択した時点でアップグレードできます。[自動マイナーバージョンアップグレード] オプションで [いいえ] を選択した場合でも、この必須アップグレードが実行されるのでご注意ください。

これらの脆弱性の詳細については、次をご覧ください。

データベースインスタンスのアップグレードの詳細については、http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html を参照してください。