Amazon RDS – MySQL Security Advisory

29.10.2014, 16:30 по тихоокеанскому летнему времени – обновление

 

Обновление безопасности для MySQL 5.1

Мы определили, что некоторые из проблем безопасности, о которых было объявлено компанией Oracle для MySQL 5.5 и 5.6 (http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL) могут затрагивать MySQL 5.1. Как описано на странице https://www.mysql.com/support/eol-notice.html, компания Oracle в декабре 2013 г. перевела версию MySQL 5.1 на остаточную поддержку и больше не предоставляет для нее исправления. Чтобы и далее получать исправления для безопасности и надежности, клиенты, которые используют MySQL 5.1, должны провести комплексное обновление до последних версий MySQL 5.5 или 5.6, предварительно сделав тест на совместимость приложений. Подробнее о процессе обновления см. на веб-странице http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Чтобы предоставить клиентам больше времени для тестирования совместимости и комплексного обновления, мы выпустили новую второстепенную версию MySQL 5.1 (5.1.73a). Эта версия содержит исправления безопасности для CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 и CVE-2014-6559, которые были добавлены в MySQL 5.1.73. Инстансы RDS MySQL 5.1, настроенные с учетом рекомендаций по использованию групп безопасности с ограниченным доступом, будут переведены на MySQL версии 5.1.73a во время обычных интервалов обслуживания с 23:00 (UTC) 30 октября 2014 г. по 22:59 (UTC) 6 ноября 2014 г. Любые инстансы RDS, которые будут иметь группы безопасности, предоставляющие неограниченный доступ из сети Интернет (правила входящего трафика, указывающие 0.0.0.0/0) к 17:00 (UTC) 30 октября 2014 г. будут автоматически обновлены до версии 5.1.73a по истечении этого периода времени без ожидания окна обслуживания. Подробнее о том, как перенастроить доступ к инстансам RDS , см. на странице http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Пользователи также могут выполнить обновление до этой второстепенной версии в любое время до окна обслуживания, используя функцию «Изменить»: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Обратите внимание, что данное обязательное обновление будет выполнено даже для инстансов, у которых для параметра Auto Minor Version Upgrade (Автоматическое обновление до второстепенной версии) выбрано значение «No» (Нет).

-------------------------------------------------------------------------------------------------

 

 

24.10.2014, 17:00 по тихоокеанскому летнему времени – обновление –



Инстансы MySQL 5.5 и 5.6 с группами безопасности настроены для предоставления неограниченного доступа к сети Интернет:

Все инстансы MySQL 5.5 и 5.6, которые по состоянию на 19:00 (UTC) 17 октября 2014 г. все еще имели настройку неограниченного доступа из сети Интернет (правило CIDR 0.0.0.0/0), к 19 октября 2014 г. были обновлены до MySQL версии 5.5.40 и 5.6.21, соответственно.

Инстансы MySQL 5.5 с ограниченным доступом из сети Интернет:

Мы начали обновлять эти инстансы MySQL 5.5 до версии 5.5.40 во время определенных пользователем интервалов обслуживания в 22:30 (UTC) 20 октября 2014 г. Обновление было завершено до 22:29 (UTC) 27 октября 2014 г.

Инстансы MySQL 5.6 с ограниченным доступом из сети Интернет:

Обновление инстансов версии 5.6, для которых были настроены группы безопасности, закрытые для доступа из сети Интернет, первоначально планировалось начать 20 октября 2014 г. Это обновление не было начато, поскольку мы идентифицировали ситуацию, при которой реплики чтения MySQL 5.6 моли приводить к сбою после обновления версии до 5.6.21. Это связано с форматом MySQL для хранения столбцов даты и меток времени, который был представлен в MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

Из-за такого изменения формата реплика чтения MySQL 5.6.21 может приводить к сбою при получении транзакции с записью строки, изменяющей столбец даты или метки времени мастер-сервера MySQL любой версии, который был создан (или обновлен) из версии MySQL более ранней, чем 5.6.4. Способ решения этой проблемы описан в разделе «Известные проблемы и ограничения»: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Кроме того, из-за несовместимости способов регистрации двоичных объектов, начиная с MySQL версии 5.6.20, клиентам, которые хотят изменять двоичные объекты размером более 12,8 МБ, необходимо настроить параметр "innodb_log_file_size", указав для него размер в 10 раз больше самого большого двоичного объекта, который требуется изменить. Подробнее об этих изменениях см. на странице http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Чтобы предоставить пользователям преимущества обновлений безопасности и избавить их от проблем совместимости, описанных выше, мы выпустили новую второстепенную версию MySQL 5.6, 5.6.19a. Эта версия содержит исправления безопасности для CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 и CVE-2014-6559, которые были добавлены в MySQL 5.6.19. Мы выполним обновление всех инстансов MySQL 5.6 версии 5.6.19 или более ранней до версии 5.6.19a во время определенных клиентом интервалов обслуживания с 19:00 (UTC) 28 октября 2014 г. до 18:59 (UTC) 4 ноября 2014 г. Вы также можете выполнить обновление до этой второстепенной версии в любое выбранное вами время до окна обслуживания, используя функцию «Изменить»: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Обратите внимание, что данное обязательное обновление будет выполнено, даже если для параметра Auto Minor Version Upgrade (Автоматическое обновление до второстепенной версии) выбрано значение «No» (Нет).

Если вы уже обновили инстансы MySQL 5.6 до MySQL версии 5.6.21, ознакомьтесь с разделом «Известные проблемы и ограничения», рассмотренный выше. Если необходимо, выполните действия, описанные в этом разделе.

-------------------------------------------------------------------------------------------------

 

 

16 октября компания Oracle объявила о нахождении уязвимостей безопасности и связанных с ними исправлениях программного обеспечения, которые затрагивают MySQL 5.5 и 5.6: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. Инстансы RDS, следуя рекомендациям по использованию групп безопасности с ограниченным доступом, будут переведены на MySQL 5.5.40 или 5.6.21 – новые версии MySQL, имеющие эти исправления, во время обычных интервалов обслуживания. Клиентам, настроившим инстансы RDS с неограниченным доступом из сети Интернет (например, используя правило CIDR с суффиксом /0), мы рекомендуем немедленно изменить группы безопасности и разрешить входящий доступ к портам базы данных только для IP-адресов надежных источников. Это минимизирует риски, связанные с данной уязвимостью безопасности. Подробнее о том, как перенастроить доступ к вашей базе данных, см. на странице http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Чтобы полностью устранить эти уязвимости, инстансы баз данных должны быть обновлены до MySQL версии 5.5.40 или 5.6.21. Amazon RDS предоставит доступ к новым версиям MySQL к 24:00 по тихоокеанскому летнему времени пятницы, 17 октября 2014 г. Клиенты могут обновить инстансы вручную либо дождаться следующего окна регулярного обслуживания, во время которого будет выполнено автоматическое обновление инстансов. Во время обновления потребуется перезагрузка инстансов баз данных (в одной или нескольких зонах доступности), и в течение нескольких минут они будут недоступны.

Любые инстансы RDS, которые будут предоставлять неограниченный доступ из сети Интернет до 24:00 по тихоокеанскому летнему времени пятницы, 17 октября 2014 г., будут автоматически обновлены по наступлении этого времени без ожидания окна обслуживания. Кроме того, инстансы баз данных версий 5.5 и 5.6, которые не были обновлены клиентами, независимо от состояния их групп безопасности будут обновлены во время окон обслуживания между 24:00 по тихоокеанскому летнему времени 20 октября 2014 г. (понедельник) и 11:59 по тихоокеанскому летнему времени понедельника, 27 октября 2014 г (понедельник). Вы также можете выполнить обновление до окна обслуживания, используя функцию «Изменить». Обратите внимание, что данное обязательное обновление будет выполнено, даже если для параметра Auto Minor Version Upgrade (Автоматическое обновление до второстепенной версии) выбрано значение «No» (Нет).

Дополнительные сведения о данных уязвимостях см. на веб-сайте:

Подробнее об обновлении инстансов баз данных см. на странице http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html