Amazon RDS – การให้คำปรึกษาด้านความปลอดภัยของ MySQL

29/10/2014 16:30 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -

 

การอัปเดตการรักษาความปลอดภัยสำหรับ MySQL 5.1

เราพบว่ามีปัญหาด้านการรักษาความปลอดภัยบางประการซึ่งประกาศจาก Oracle สำหรับ MySQL 5.5 และ 5.6 ที่นี่: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL อาจส่งผลต่อ MySQL 5.1 ตามที่อธิบายไว้ใน https://www.mysql.com/support/eol-notice.html Oracle ย้าย MySQL 5.1 ไปยัง Sustaining Support ในเดือนธันวาคม 2013 และไม่มีแพตช์ให้บริการอีกต่อไป หากต้องการรับการรักษาความปลอดภัยของ MySQL และแพตช์ที่ไว้วางใจได้ต่อไป เราขอแนะนำให้ลูกค้าที่เรียกใช้ MySQL 5.1 ให้อัปเกรดเวอร์ชันหลักเป็นเวอร์ชันล่าสุด คือ MySQL 5.5 หรือ 5.6 หลังจากทดสอบความเข้ากันได้ของแอปพลิเคชันแล้ว ดูรายละเอียดเกี่ยวกับการอัปเกรดนี้ได้ที่นี่: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html

เพื่อให้ลูกค้ามีเวลามากขึ้นในการทดสอบความเข้ากันได้และการอัปเกรดเวอร์ชันหลัก เราได้เผยแพร่ MySQL 5.1 เวอร์ชันรองใหม่ หรือ 5.1.73a แล้ว เวอร์ชันนี้มีการแก้ไขด้านการรักษาความปลอดภัยสำหรับ CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 และ CVE-2014-6559 ซึ่งเพิ่มไปยัง MySQL 5.1.73 อินสแตนซ์ MySQL 5.1 RDS ที่มีการตั้งค่าตามแนวทางปฏิบัติที่ดีที่สุดในการใช้กลุ่มการรักษาความปลอดภัยที่จำกัดการเข้าถึงจะมีการอัปเกรดเป็น MySQL 5.1.73a ในช่วงการบำรุงรักษาตามปกติระหว่างวันที่ 30 ตุลาคม 2014 23:00 น. เวลาสากลเชิงพิกัด และวันที่ 6 พฤศจิกายน 2014 22:59 น. เวลาสากลเชิงพิกัด อินสแตนซ์ RDS ใดๆ ที่ยังมีการตั้งค่าด้วยกลุ่มการรักษาความปลอดภัยซึ่งมึสิทธิ์การเข้าถึงแบบไม่จำกัดจากอินเทอร์เน็ต (กฎขาเข้าซึ่งระบุเป็น 0.0.0.0/0) ภายใน 30 ต.ค. 2014 17:00 น. เวลาสากลเชิงพิกัด จะมีการอัปเกรดเป็น 5.1.73a โดยอัตโนมัติหลังจากเวลาดังกล่าวก่อนช่วงการบำรุงรักษา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าใหม่ให้กับสิทธิ์การเข้าถึงไปยังอินสแตนซ์ RDS โปรดดูที่: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html ผู้ใช้สามารถอัปเกรดเวอร์ชันรองเมื่อใดก็ได้ก่อนช่วงการบำรุงรักษาโดยใช้การดำเนินการ Modify: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html โปรดทราบว่าการอัปเกรดตามข้อบังคับนี้จะอัปเกรดให้อินสแตนซ์ที่เลือกการอัปเกรดเวอร์ชันรองไว้เป็น “ไม่”

-------------------------------------------------------------------------------------------------

 

 

24/10/2014 17.00 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -



อินสแตนซ์ MySQL 5.5 และ 5.6 ที่มีกลุ่มการรักษาความปลอดภัยซึ่งกำหนดค่าไว้เพื่อให้สิทธิ์การเข้าถึงอินเทอร์เน็ตแบบไม่จำกัด:

อินสแตนซ์ MySQL 5.5 และ 5.6 ทั้งหมดที่ยังมีการกำหนดค่าด้วยสิทธิ์การเข้าถึงแบบไม่จำกัด (CIDR rule 0.0.0.0/0) จากอินเทอร์เน็ตตั้งแต่วันที่ 17 ต.ค. 2014 19:00 น. เวลาสากลเชิงพิกัด จะมีการอัปเกรดเป็น MySQL 5.5.40 และ 5.6.21 ตามลำดับ ภายในวันที่ 19 ต.ค. 2014

อินสแตนซ์ MySQL 5.5 ที่มีสิทธิ์การเข้าถึงแบบจำกัดจากอินเทอร์เน็ต:

เราเริ่มการอัปเกรดอินสแตนซ์ MySQL 5.5 เหล่านี้เป็น 5.5.40 ระหว่างช่วงการบำรุงรักษาของลูกค้าที่กำหนดไว้ในวันที่ 20 ต.ค. 2014 เวลา 22:30 น. เวลาสากลเชิงพิกัด เราจะดำเนินการอัปเกรดเหล่านี้ให้เสร็จสิ้นภายในวันที่ 27 ต.ค. 2014 เวลา 22:29 น. เวลาสากลเชิงพิกัด

อินสแตนซ์ MySQL 5.6 ที่มีสิทธิ์การเข้าถึงแบบจำกัดจากอินเทอร์เน็ต:

การอัปเกรดอินสแตนซ์ 5.6 ที่มีกลุ่มการรักษาความปลอดภัยซึ่งไม่เปิดสำหรับอินเทอร์เน็ตมีการกำหนดเวลาดั้งเดิมไว้ให้เริ่มเมื่อ 20 ต.ค. 2014 การอัปเกรดนี้ไม่ได้เริ่มต้นขึ้นเพราะเราพบปัญหาว่าแบบจำลองการอ่าน MySQL 5.6 อาจขัดข้องหลังจากการอัปเกรดเป็น 5.6.21 ซึ่งเกี่ยวข้องกับรูปแบบวันที่และคอลัมน์ตราประทับเวลาของพื้นที่จัดเก็บ MySQL ซึ่งมีการเปิดตัวใน MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html

เนื่องจากรูปแบบนี้เปลี่ยนแปลง แบบจำลองการอ่าน MySQL 5.6.21 อาจขัดข้องเมื่อได้รับธุรกรรมแบบบันทึกตามแถวซึ่งแก้ไขวันที่และคอลัมน์ตราประทับเวลาจากต้นฉบับ MySQL ของเวอร์ชันใดๆ ที่สร้างด้วย (หรืออัปเกรดจาก) MySQL เวอร์ชันก่อนหน้า 5.6.4 ตัวเลือกในการจัดการปัญหานี้มีระบุไว้ในส่วน "ปัญหาที่ทราบและข้อจำกัด": http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations

นอกจากนี้ เนื่องจากความไม่เข้ากันกับวิธีที่บันทึกบล็อบโดยเริ่มต้นที่ MySQL 5.6.20 ลูกค้าที่ต้องการแก้ไขบล็อบซึ่งใหญ่กว่า 12.8 MB จำเป็นต้องปรับพารามิเตอร์ "innodb_log_file_size" ของตนให้ใหญ่กว่าบล็อบที่ใหญ่ที่สุดซึ่งต้องการแก้ไข 10 เท่า สำหรับข้อมูลเกี่ยวกับการเปลี่ยนแปลงนี้ โปรดดูที่: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html

เราได้เผยแพร่ MySQL 5.6 เวอร์ชันรองใหม่ คือ 5.6.19a เพื่อให้ลูกค้าได้รับประโยชน์จากการอัปเดตด้านการรักษาความปลอดภัยโดยไม่ต้องพบปัญหาด้านความเข้ากันได้ เวอร์ชันนี้มีการแก้ไขด้านการรักษาความปลอดภัยสำหรับ CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 และ CVE-2014-6559 ซึ่งเพิ่มไปยัง MySQL 5.6.19 เราจะอัปเกรดอินสแตนซ์ MySQL 5.6 ทั้งหมดที่เป็น 5.6.19 หรือรุ่นก่อนหน้าให้เป็น 5.6.19a ในช่วงการบำรุงรักษาของลูกค้าที่กำหนดไว้ระหว่างวันที่ 28 ต.ค. 2014 19:00 น. เวลาสากลเชิงพิกัด และ 4 พ.ย. 2014 18:59 น. เวลาสากลเชิงพิกัด คุณสามารถอัปเกรดเวอร์ชันรองได้ตามเวลาที่คุณต้องการก่อนช่วงการบำรุงรักษาโดยใช้การดำเนินการ Modify: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html

โปรดทราบว่าการอัปเกรดตามข้อบังคับนี้จะอัปเกรดหากคุณเลือกการอัปเกรดเวอร์ชันรองไว้เป็น “ไม่”

หากคุณอัปเกรดอินสแตนซ์ MySQL 5.6 เป็น MySQL 5.6.21 แล้ว โปรดตรวจสอบส่วน "ปัญหาที่ทราบและข้อจำกัด" ที่อธิบายไว้ด้านบนและหากมี และปฏิบัติตามขั้นตอนที่ระบุไวในส่วนดังกล่าว

-------------------------------------------------------------------------------------------------

 

 

ในวันที่ 16 ตุลาคม Oracle ได้ประกาศถึงช่องโหว่ด้านการรักษาความปลอดภัยและแพตช์ซอฟต์แวร์ที่เกี่ยวข้องซึ่งส่งผลต่อ MySQL 5.5 และ 5.6: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL อินสแตนซ์ RDS ที่มีการตั้งค่าตามแนวทางปฏิบัติที่ดีที่สุดในการใช้กลุ่มการรักษาความปลอดภัยที่จำกัดการเข้าถึงจะมีการอัปเกรดเป็น MySQL 5.5.40 หรือ 5.6.21 ซึ่งเป็นเวอร์ชันใหม่ที่มีแพตช์เหล่านี้ ในช่วงการบำรุงรักษาตามปกติ สำหรับอินสแตนซ์ RDS ที่ลูกค้ากำหนดค่าสิทธิ์การเข้าถึงแบบไม่จำกัดจากอินเทอร์เน็ต (เช่น กฎ CIDR ที่มีคำต่อท้ายเป็น /0) เราขอแนะนำให้ลูกค้าเปลี่ยนกลุ่มการรักษาความปลอดภัยของตนเพื่อจำกัดการเข้าถึงขาเข้าไปยังพอร์ตฐานข้อมูล ให้เหลือแค่แหล่งซึ่งที่อยู่ IP ที่มีการเชื่อมต่อกับฐานข้อมูลอย่างถูกต้องควรเกิดขึ้น ซึ่งจะขจัดช่องโหว่ด้านการรักษาความปลอดภัย สำหรับข้อมูลเกี่ยวกับการกำหนดค่าใหม่ให้กับสิทธิ์การเข้าถึงฐานข้อมูลของคุณ โปรดดูที่: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

หากต้องการจัดการช่องโหว่เหล่านี้อย่างเต็มรูปแบบ อินสแตนซ์ฐานข้อมูลของคุณต้องอัปเกรดเป็น MySQL 5.5.40 หรือ 5.6.21 Amazon RDS จะเปิดให้ MySQL เวอร์ชันใหม่พร้อมใช้งานภายใน 12:00 น. เวลาตามฤดูกาลของแปซิฟิก ในวันศุกร์ที่ 17 ต.ค. 2014 ลูกค้าอาจเลือกอัปเกรดอินสแตนซ์ของตนด้วยตัวเองในเวลาดังกล่าวหรือรอให้ถึงช่วงบำรุงรักษาตามปกติ ซึ่งเราจะอัปเกรดให้โดยอัตโนมัติ เมื่อถึงเวลาอัปเกรด อินสแตนซ์ฐานข้อมูลของคุณ (ไม่ว่าจะเป็น AZ เดียวหรือหลาย AZ) จะเข้าสู่การรีบูตและจะไม่พร้อมใช้งานเพียงไม่กี่นาที

อินสแตนซ์ RDS ทั้งหมดที่ยังคงอนุญาตสิทธิ์การเข้าถึงแบบไม่จำกัดจากอินเทอร์เน็ตภายในเวลา 12:00 น. เวลาตามฤดูกาลของแปซิฟิก ในวันศุกร์ที่ 17 ต.ค. 2014 จะมีการอัปเกรดโดยอัตโนมัติหลังจากเวลาดังกล่าวก่อนช่วงเวลาซ่อมบำรุง นอกจากนี้ อินสแตนซ์ฐานข้อมูล 5.5 และ 5.6 ที่ยังไม่มีการอัปเกรดจากลูกค้า ไม่ว่าจะกลุ่มการรักษาความปลอดภัยจะอยู่ในสถานะใด จะมีการอัปเกรดในช่วงเวลาซ่อมบำรุงระหว่าง 12:00 น. เวลาตามฤดูกาลของแปซิฟิก ในวันจันทร์ที่ 20 ต.ค. 2014 และ 11:59 น. เวลาปรับฤดูกาลของแปซิฟิก ในวันจันทร์ที่ 27 ต.ค. 2014 คุณสามารถอัปเกรดเวอร์ชันรองได้ตามเวลาที่คุณต้องการก่อนช่วงการบำรุงรักษาโดยใช้การดำเนินการ Modify โปรดทราบว่าการอัปเกรดตามข้อบังคับนี้จะอัปเกรดหากคุณเลือกการอัปเกรดเวอร์ชันรองไว้เป็น “ไม่”

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่เหล่านี้ โปรดไปที่

สำหรับข้อมูลเกี่ยวกับการอัปเกรดอินสแตนซ์ฐานข้อมูลของคุณ โปรดไปที่: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html