2014년 10월 29일 오후 4시 30분(PDT) - 업데이트 -
MySQL 5.1용 보안 업데이트
AWS는 Oracle for MySQL 5.5 및 5.6에서 발표한 보안 문제(http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL) 중 일부가 MySQL 5.1에 영향을 줄 수 있는 것으로 확인했습니다. https://www.mysql.com/support/eol-notice.html에 설명된 것처럼, Oracle은 2013년 12월에 MySQL 5.1을 Sustaining Support로 이전했으며 더 이상 패치를 제공하지 않습니다. MySQL 보안 및 안정성 패치를 계속 받기 위해, MySQL 5.1을 실행하는 고객은 애플리케이션 호환성을 테스트한 후 최신 버전의 MySQL 5.5 또는 5.6으로 메이저 버전 업그레이드를 수행하는 것이 좋습니다. 이 업그레이드 수행에 대한 자세한 내용은 http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html을 참조하십시오.
고객에게 호환성을 테스트하고 메이저 버전 업그레이드를 수행할 시간을 더 제공하기 위해 새로운 마이너 MySQL 5.1 버전 5.1.73a도 릴리스했습니다. 이 버전에는 MySQL 5.1.73에 추가된 CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 및 CVE-2014-6559용 보안 해결이 포함되어 있습니다. 제한된 액세스 권한을 가진 보안 그룹 사용이라는 모범 사례 지침으로 구성된 MySQL 5.1 RDS 인스턴스는 2014년 10월 30일 오후 11시(UTC)와 2014년 11월 6일 오후 10시 59분(UTC) 사이의 정기 유지 관리 기간 동안 MySQL 5.1.73a로 업그레이드됩니다. 2014년 10월 30일 오후 5시(UTC)까지 여전히 무제한 인터넷 액세스(0.0.0.0/0을 지정하는 수신 규칙)를 제공하는 보안 그룹으로 구성된 모든 RDS 인스턴스는 이 시간 이후, 유지 관리 기간보다 앞서 5.1.73a로 자동 업그레이드됩니다. RDS 인스턴스 액세스 재구성에 대한 정보는 http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html을 참조하십시오. 또한, 유지 관리 기간이 시작되기 전에도 수정 작업(http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html)을 통해 언제든지 이 마이너 버전으로 업그레이드할 수 있습니다. 이 필수 업그레이드는 마이너 버전 자동 업그레이드 옵션에 대해 '아니요'가 선택되어 있는 인스턴스에 대해서도 수행된다는 점에 유의하시기 바랍니다.
-------------------------------------------------------------------------------------------------
2014년 10월 24일 오후 5시(PDT) - 업데이트 -
무제한 인터넷 액세스를 제공하도록 구성된 보안 그룹이 있는 MySQL 5.5 및 5.6 인스턴스:
2014년 10월 17일 오후 7시(UTC) 현재 여전히 무제한 인터넷 액세스(CIDR 규칙 0.0.0.0/0)로 구성된 모든 MySQL 5.5 및 5.6 인스턴스는 2014년 10월 19일까지 각각 MySQL 5.5.40 및 5.6.21로 업그레이드되었습니다.
제한된 인터넷 액세스로 구성된 MySQL 5.5 인스턴스:
AWS는 2014년 10월 20일 오후 10시 30분(UTC)에 고객이 정의한 유지 관리 기간 동안 이러한 MySQL 5.5 인스턴스를 5.5.40으로 업그레이드하기 시작했습니다. 이러한 업그레이드를 2014년 10월 27일 오후 10시 29분(UTC)에 완료합니다.
제한된 인터넷 액세스로 구성된 MySQL 5.6 인스턴스:
인터넷에 공개되지 않은 보안 그룹이 있는 5.6 인스턴스의 업그레이드는 원래 2014년 10월 20일에 시작하도록 예약되었습니다. 하지만 이 업그레이드는 시작되지 않았습니다. 5.6.21로의 업그레이드 후 MySQL 5.6 읽기 복제본이 중단되는 상황이 발생했기 때문입니다. 이 문제는 MySQL 5.6.4에 도입된 날짜 및 타임스탬프 열에 대한 MySQL 스토리지 형식과 관련이 있습니다. https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.
이 형식 변경으로 인해 MySQL 5.6.21 읽기 본제본이 5.6.4. 이전 버전 MySQL로 생성된(또는 업그레이드된) 모든 버전의 MySQL 마스터로부터 날짜 또는 타임스탬프 열을 수정하는 행 로깅 트랜잭션을 받을 경우 복제본이 중단될 수 있습니다. 이 문제를 해결하기 위한 옵션에 대한 설명은 "알려진 문제 및 제한" 섹션( http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations)을 참조하십시오.
또한, MySQL 5.6.20부터 BLOB이 로깅되는 방법과의 비호환성으로 인해 12.8MB 이상의 BLOB을 수정하려고 하는 고객은 "innodb_log_file_size" 파라미터를 수정할 가장 큰 BLOB 크기의 10배로 조정해야 합니다. 이 변경에 대한 자세한 내용은 http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html을 참조하십시오.
고객에게 위의 호환성 문제없이 보안 업데이트의 이점을 제공하기 위해 AWS는 새로운 마이너 MySQL 5.6 버전 5.6.19a를 릴리스했습니다. 이 버전에는 MySQL 5.6.19에 추가된 CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 및 CVE-2014-6559용 보안 해결이 포함되어 있습니다. AWS는 2014년 10월 28일 오후 7시(UTC)와 2014년 11월 4일 오후 6시 59분(UTC) 사이의 고객이 정의한 유지 관리 기간 동안 5.6.19 또는 이전 버전의 모든 MySQL 5.6 인스턴스를 5.6.19a로 업그레이드합니다. 또한, 유지 관리 기간이 시작되기 전에도 수정 작업( http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html)을 통해 선택한 시간에 이 마이너 버전으로 업그레이드할 수 있습니다.
이 필수 업그레이드는 마이너 버전 자동 업그레이드 옵션에 대해 '아니요'를 선택한 경우에도 수행된다는 점에 유의하시기 바랍니다.
MySQL 5.6 인스턴스를 이미 MySQL 5.6.21로 업그레이드한 경우 위에 설명된 "알려진 문제 및 제한" 섹션을 검토하여 해당하는 경우 해당 섹션에 설명된 단계를 수행하십시오.
-------------------------------------------------------------------------------------------------
Oracle은 10월 16일에 MySQL 5.5 및 5.6에 영향을 주는 보안 취약성 및 관련 소프트웨어 패치를 발표했습니다. http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. 제한된 액세스 권한을 가진 보안 그룹 사용이라는 모범 사례 지침을 따르는 RDS 인스턴스는 일반적인 유지 관리 기간 동안 이러한 패치가 포함된 새로운 버전인 MySQL 5.5.40 또는 5.6.21로 업그레이드됩니다. 무제한 인터넷 액세스(예: 접미사가 /0인 CIDR 규칙)를 구성한 RDS 인스턴스 고객의 경우, 데이터베이스 포트에 대한 인바운드 액세스를 데이터베이스에 대한 적법한 연결이 발생해야 하는 소스 IP 주소로만 제한하도록 즉시 보안 그룹을 변경해야 합니다. 이렇게 하면 보안 취약성이 완화됩니다. 데이터베이스 액세스 재구성에 대한 정보는 http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html을 참조하십시오.
이러한 취약성을 완전히 해결하려면 데이터베이스 인스턴스를 MySQL 5.5.40 또는 5.6.21로 업그레이드해야 합니다. Amazon RDS는 2014년 10월 17일 금요일 오후 12시(PDT)에 새로운 MySQL 버전을 제공합니다. 고객은 이때 인스턴스를 수동으로 업그레이드하거나 다음 정기 유지 관리 기간까지 기다릴 수 있습니다. 이 기간 동안 AWS가 자동으로 업그레이드를 수행합니다. 업그레이드할 때에는 데이터베이스 인스턴스(단일 AZ 또는 다중 AZ)가 재부팅되고 몇 분 동안 사용할 수 없게 됩니다.
2014년 10월 17일 금요일 오후 12시(PDT)까지 무제한 인터넷 액세스를 계속 허용하는 모든 RD 인스턴스는 이 시간 이후, 유지 관리 기간보다 앞서 자동으로 업그레이드됩니다. 또한, 고객이 아직 업그레이드하지 않은 5.5 및 5.6 데이터베이스 인스턴스는 보안 그룹의 상태에 관계없이 2014년 10월 20일 월요일 오후 12시(PDT)와 2014년 10월 27일 오전 11시 59분(PDT) 사이의 해당 유지 관리 기간 동안 업그레이드됩니다. 유지 관리 기간 전에도 수정 작업을 통해 선택한 시간에 업그레이드할 수 있습니다. 이 필수 업그레이드는 마이너 버전 자동 업그레이드 옵션에 대해 '아니요'를 선택한 경우에도 수행된다는 점에 유의하시기 바랍니다.
이러한 취약성에 대한 자세한 내용은 다음 항목을 참조하십시오.
- 이러한 취약성(CVE-2014-6491, CVE-2014-6494, CVE-2014-6500, CVE-2014-6559)과 관련된 Oracle의 중요 패치 업데이트는 http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL에서 찾을 수 있습니다.
데이터베이스 인스턴스 업그레이드에 대한 자세한 내용은 http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html을 참조하십시오.