Amazon RDS – Aviso de segurança do MySQL

29/10/2014 16:30 PDT – Atualização –

 

atualização de segurança para o MySQL 5.1

Determinamos que alguns problemas de segurança anunciados pela Oracle para o MySQL 5.5 e 5.6 aqui: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL podem afetar o MySQL 5.1. Conforme descrito em https://www.mysql.com/support/eol-notice.html, a Oracle transferiu o MySQL 5.1 para suporte de manutenção em dezembro de 2013 e não está mais oferecendo correções para essa versão. Para continuar recebendo correções de segurança e confiabilidade do MySQL, recomendamos que clientes que trabalham com o MySQL 5.1 executem uma atualização prioritária para as versões mais recentes do MySQL 5.5 ou 5.6 após testar a compatibilidade dos aplicativos. Mais detalhes sobre a execução dessa atualização estão disponíveis aqui: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

A fim de permitir que os clientes tenham mais tempo para testar a compatibilidade e executar uma atualização para a versão principal, lançamos uma nova versão secundária do MySQL 5.1, a 5.1.73a. Essa versão tem as correções de segurança para CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 e CVE-2014-6559 adicionados ao MySQL 5.1.73. As instâncias RDS do MySQL 5.1 configuradas com a diretriz de melhores práticas de usar grupos de segurança de acesso restrito serão atualizadas para o MySQL 5.1.73a durante a janela de manutenção normal entre 30 de outubro de 2014 23:00 UTC e 06 de novembro de 2014 22:59 UTC. Quaisquer instâncias RDS que ainda estão configuradas com grupos de segurança que fornecem acesso irrestrito da internet (regras de entrada especificando 0.0.0.0/0) em 30 de outubro de 2014 17:00 UTC serão automaticamente atualizados para 5.1.73a após esse horário, antes da janela de manutenção. Para obter informações sobre a reconfiguração do acesso às instâncias RDS, consulte: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Os usuários também podem atualizar para essa versão secundária em qualquer momento antes de sua janela de manutenção usando a operação Modificar: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Observe que essa atualização obrigatória será realizada mesmo nas instâncias em que a opção “Não” estiver selecionada para Atualização automática de versão secundária.

-------------------------------------------------------------------------------------------------

 

 

24/10/2014 17:00 PDT – Atualização –



instâncias do MySQL 5.5 e 5.6 com grupos de segurança configurados para dar acesso irrestrito à internet:

Todas as instâncias do MySQL 5.5 e 5.6 que ainda estavam configuradas com acesso irrestrito (regra CIDR 0.0.0.0/0) da Internet a partir de 17 de outubro de 2014, 19:00 UTC foram atualizadas para MySQL 5.5.40 e MySQL 5.6.21, respectivamente, a partir de 19 de outubro de 2014.

Instâncias do MySQL 5.5 com acesso restrito da Internet:

nós começamos a atualizar essas instâncias do MySQL 5.5 para 5.5.40 durante as janelas de manutenção definidas pelo cliente em 20 de outubro de 2014 as 22:30 UTC. Concluiremos essas atualizações em 27 de outubro de 2014 as 22:29 UTC.

Instâncias do MySQL 5.6 com acesso restrito da Internet:

a atualização das instâncias do 5.6 com grupos de segurança que não estão abertos à internet foi agendada, originalmente, para começar em 20 de outubro de 2014. Essa atualização não começou porque identificamos uma condição onde as réplicas de leitura do MySQL 5.6 podem falhar após a atualização para o 5.6.21. Esse problema está relacionado ao formato de armazenamento do MySQL para as colunas de data e hora, que foi introduzida no MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

Devido a essa mudança no formato, uma réplica de leitura do MySQL 5.6.21 pode falhar quando receber uma transação de registro de linha que modifique a coluna de data ou hora de um MySQL principal de qualquer versão que tenha sido criada com (ou atualizada a partir de) um MySQL com versão inferior a 5.6.4. Uma opção para solucionar esse problema está documentada na seção “Problemas e limitações conhecidos”: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Além disso, devido a uma incompatibilidade com como os blobs são armazenados a partir do MySQL 5.6.20, clientes que desejam modificar blobs maiores do que 12,8 MB precisarão ajustar o parâmetro "innodb_log_file_size" para 10 vezes o tamanho do maior blob que desejam modificar. Para informações a respeito dessa mudança, consulte: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Para oferecer aos clientes o benefício de atualizações de segurança sem encontrar os problemas de compatibilidade acima, lançamos uma versão secundária do MySQL 5.6, a versão 5.6.19a. Essa versão tem as correções de segurança para CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 e CVE-2014-6559 adicionados ao MySQL 5.6.19. Atualizaremos todas as instâncias do MySQL 5.6 que estejam na versão 5.6.19 ou inferior a 5.6.19a durante a janela de manutenção definida pelo cliente entre 28 de outubro de 2014, 19:00 UTC e 04 de novembro de 2014, 18:59 UTC. Você também pode atualizar para essa versão secundária em um horário a sua escolha antes de sua janela de manutenção usando a operação Modificar: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Observe que essa atualização obrigatória será realizada mesmo que você selecione “Não” para a opção de Atualização automática de versão secundária.

Se você já tiver atualizado suas instâncias do MySQL 5.6 para o MySQL 5.6.21, reveja a seção “Problemas e limitações conhecidas”, discutida acima e, se aplicável, realize as etapas descritas naquela seção.

-------------------------------------------------------------------------------------------------

 

 

Em 16 de outubro, a Oracle anunciou vulnerabilidades de segurança e correções associadas de software afetando o MySQL 5.5 e 5.6: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. As instâncias RDS que seguem a diretriz de melhores práticas de usar grupos de segurança de acesso restrito serão atualizadas para o MySQL 5.5.40 ou 5.6.21, as versões novas que possuem essas correções, durante a janela de manutenção normal. Para as instâncias do RDS onde os clientes configuraram acesso irrestrito a internet (por exemplo, regras CIDR com sufixo /0), recomendamos que mudem imediatamente seus grupos de segurança para acesso de entrada restrito às portas de banco de dados para aceitar apenas aqueles endereços de origem de IP dos quais conexões legítimas ao banco de dados deveriam se originar. Isso atenuará vulnerabilidades de segurança. Para obter informações sobre a reconfiguração do acesso ao seu banco de dados, consulte: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Para solucionar totalmente essas vulnerabilidades, suas instâncias de banco de dados precisam estar atualizadas para as versões MySQL 5.5.40 ou 5.6.21. O Amazon RDS deixará as novas versões do MySQL disponível às 12:00 PDT da sexta-feira, 17 de outubro de 2014. Clientes podem escolher atualizar manualmente suas instâncias a qualquer momento ou esperar a janela de manutenção regular durante a qual realizaremos automaticamente as atualizações. No momento da atualização, as instâncias do banco de dados (Single-AZ ou Multi-AZ) serão reinicializadas e ficarão indisponíveis por alguns minutos.

Quaisquer instâncias RDS que continuem a permitir acesso irrestrito da Internet em 12:00 PDT de sexta-feira, 17 de outubro de 2014 serão atualizadas automaticamente após esse horário, antes da janela de manutenção. Além disso, instâncias de banco de dados 55 e 5.6 que não tiverem sido atualizadas pelos clientes, independentemente do seu estado de grupo de segurança, serão atualizados durante a janela de manutenção entre 12:00 PDT da segunda-feira, 20 de outubro de 2014 e 11:59 PDT da segunda-feira, 27 de outubro de 2014. Você pode fazer a atualização em qualquer horário a sua escolha antes de sua janela de manutenção usando a operação Modificar. Observe que essa atualização obrigatória será realizada mesmo que você selecione “Não” para a opção de Atualização automática de versão secundária.

Para obter mais informações sobre essas vulnerabilidades, visite:

Para mais informações sobre a atualização de sua instância de banco de dados, acesse: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html