Amazon RDS - MySQL Güvenlik Önerisi

2014/10/29 16:30 PDT - Güncelleme -

 

MySQL 5.1 için güvenlik güncellemesi

Oracle for MySQL 5.5 and 5.6 tarafından burada birkaç güvenlik sorunun duyurulduğunu belirledik: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL MySQL 5.1’i etkilemiş olabilir. https://www.mysql.com/support/eol-notice.html adresinde belirtildiği gibi, Oracle, Aralık 2013'te MySQL 5.1'i Sustaining Support’a taşıdı ve artık bunun için yama sunmuyor. MySQL güvenlik ve güvenilirlik yamalarını almaya devam etmek için, MySQL 5.1’i çalıştıran müşterilerin uygulama uyumluluğunu test ettikten sonra MySQL 5.5 veya 5.6'nın en son sürümlerine yönelik ana sürüm yükseltme işlemi gerçekleştirmelerini öneririz. Bu güncellemenin gerçekleştirilmesine yönelik daha fazla detaya şuradan ulaşabilirsiniz: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Uyumluluğu test etmek ve ana sürüm yükseltmesi yapmak için müşterilere daha fazla zaman tanımak amacıyla, yeni bir küçük MySQL 5.1 sürümü, 5.1.73a yayınladık. Bu sürüm, MySQL 5.1.73’e eklenen CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 ve CVE-2014-6559 için güvenlik düzeltmelerini içermektedir. Sınırlı erişim güvenlik gruplarının kullanımına yönelik en iyi uygulamalar kılavuzuyla yapılandırılan MySQL 5.1 RDS örnekleri, 30 Ekim 2014 23:00 UTC ve 06 Kasım 2014 22:59 UTC arasındaki tarihlerde normal bakım pencerelerinde MySQL 5.1.73a sürümüne yükseltilecektir. 30 Ekim 2014 17:00 UTC saatine kadar internetten sınırsız erişim (0.0.0.0/0 belirten giriş kuralları) sağlayan güvenlik gruplarıyla henüz yapılandırılmış olan tüm RDS bulut sunucuları, bu süreden sonra bakım pencerelerinin ilerisinde otomatik olarak 5.1.73a'ya yükseltilecektir. RDS örneklerine erişimi yeniden yapılandırma hakkında bilgi için lütfen bakınız:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Ayrıca, kullanıcılar, Değiştir işlemini kullanarak bakım pencerelerinden önce istedikleri zaman bu küçük sürüme yükseltme yapabilir:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Bu zorunlu yükseltmenin Otomatik Küçük Sürüm Yükseltme seçeneği için 'Hayır' seçeneğinin seçili olması durumunda bile gerçekleşeceğine dikkat edin.

-------------------------------------------------------------------------------------------------

 

 

2014/10/24 17:00 PDT - Güncelleme -



İnternete sınırsız erişim sağlamak için yapılandırılmış güvenlik gruplarına sahip MySQL 5.5 ve 5.6 örnekleri:

17 Ekim 2014 19:00 UTC itibariyle internetten sınırsız erişimle (CIDR kuralı 0.0.0.0/0) yapılandırılmış tüm MySQL 5.5 ve 5.6 örnekleri, 19 Ekim 2014 tarihine kadar sırasıyla MySQL 5.5.40 ve 5.6.21’e güncellendi.

İnternetten sınırlı erişimli MySQL 5.5 örnekleri:

Bu MySQL 5.5 örneklerini 20 Ekim 2014 22:30 UTC saatinde müşteri tanımlı bakım pencerelerinde 5.5.40'a yükseltmeye başladık. Bu yükseltmeleri 27 Ekim 2014 22:29 UTC saatinde tamamlayacağız.

İnternetten sınırlı erişimli MySQL 5.6 örnekleri:

5.6 örneklerinin internete açık olmayan güvenlik gruplarıyla yükseltilmesinin en başta 20 Ekim 2014'te başlaması planlanmıştır. MySQL 5.6 okuma kopyalarının 5.6.21 sürümüne yükseltildikten sonra çökebileceğini tespit ettiğimiz için bu yükseltme işlemi başlatılmadı. Bu, MySQL 5.6.4'te belirtilen tarih ve saat damgası sütunları için MySQL depolama formatı ile ilgilidir: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

Bu format değişiminden dolayı, 5.6.4’ten önceki MySQL sürümü ile birlikte oluşturulan (veya güncellenen) herhangi bir sürümün MySQL master’ından bir tarih veya saat damgasını değiştiren satır günlüğüne alınmış bir işlemi aldığında MySQL 5.6.21 okuma kopyası çökebilir. Bu sorunun çözümüne yönelik bir seçenek "Bilinen Sorunlar ve Sınırlamalar" bölümünde belirtilmektedir: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Ayrıca, blob’ların MySQL 5.6.20’den başlayarak nasıl günlüğe alındığı ile ilgili bir uyumsuzluk nedeniyle, 12.8 MB’den büyük blob’ları değiştirmek isteyen müşteriler, "innodb_log_file_size" parametrelerini değiştirmek istedikleri en büyük blob’un boyutundan 10 kat daha büyük olacak şekilde ayarlaması gerekecektir. Bu değişime ilişkin bilgiler için lütfen bakınız: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Müşterilerin yukarıdaki uyumluluk sorunlarıyla karşılaşmadan güvenlik güncellemelerinden faydalanması için, yeni bir küçük MySQL 5.6 sürümü 5.6.19 yayınladık. Bu sürüm, MySQL 5.6.19’a eklenen CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 ve CVE-2014-6559 için güvenlik düzeltmelerini içermektedir. Müşteri tanımlı bakım penceresindeki 5.6.19 veya önceki tüm MySQL 5.6 örneklerini 28 Ekim 2014 19:00 UTC ve 04 Kasım 2014 18:59 UTC saatleri arasında yükselteceğiz. Ayrıca, Değiştir işlemini kullanarak bakım pencerelerinden önce istedikleri zaman bu küçük sürüme yükseltme yapabilirsiniz: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Bu zorunlu yükseltmenin Otomatik Küçük Sürüm Yükseltme seçeneği için 'Hayır' seçeneğinin seçmiş olsanız bile gerçekleşeceğine dikkat edin.

MySQL 5.6 örneklerinizi zaten MySQL 5.6.21 sürümüne yükselttiyseniz, lütfen yukarıda belirtilen "Bilinen Sorunlar ve Sınırlamalar" bölümünü inceleyin ve gerekirse bu bölümde açıklanan adımları uygulayın.

-------------------------------------------------------------------------------------------------

 

 

16 Ekim tarihinde Oracle, MySQL 5.5 ve 5.6'yı etkileyen güvenlik açıklarını ve ilgili yazılım yamalarını açıkladı: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. Sınırlı erişim güvenlik gruplarının kullanımına yönelik en iyi uygulamalar kılavuzuyla yapılandırılan RDS örnekleri, normal bakım pencerelerinde MySQL 5.5.40 veya 5.6.21 sürümüne yükseltilecektir. Müşterilerin internetten sınırsız erişimi yapılandırdığı RDS örnekleri (ör. /0 sonekini içeren CIDR kuralları) için, müşterilerin veritabanı bağlantı noktalarına gelen erişimi yalnızca veritabanına olan yasal bağlantıların kaynağı olması gereken kaynak IP adresleriyle sınırlaması için güvenlik gruplarını hemen değiştirmelerini tavsiye ederiz Bu, güvenlik açıklarını azaltacaktır. Veritabanınıza erişimi yeniden yapılandırma hakkında daha fazla bilgi için lütfen şu adrese bakınız: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Bu güvenlik açıklarını tam olarak gidermek için veritabanı örneklerinizin MySQL 5.5.40 veya 5.6.21 sürümüne yükseltilmesi gerekmektedir. Amazon RDS, yeni MySQL sürümlerini 17 Ekim 2014 Cuma, 12:00 PDT saatinde kullanıma sunacaktır. Müşteriler, örneklerini o anda manuel olarak yükseltmeyi seçebilir veya yükseltmeleri otomatik olarak gerçekleştireceğimiz bir sonraki düzenli bakım penceresini bekleyebilir. Sürüm yükseltmesi sırasında veritabanı bulut sunucularınız (Single-AZ ya da Multi-AZ) yeniden başlatılacak ve birkaç dakika süreyle bunlara erişilemeyecektir.

17 Ekim 2014 Cuma, 12:00 PDT saatinde internetten sınırsız erişime izin vermeye devam eden tüm RDS bulut sunucuları, bu süreden sonra bakım pencerelerinin önünde otomatik olarak yükseltilecektir. Ayrıca, müşteriler tarafından henüz güncellenmemiş 5.5 ve 5.6 veritabanı örnekleri, güvenlik gruplarının durumundan bağımsız olarak, bakım pencerelerinde 20 Ekim 2014 Pazartesi 12:00 PDT ile 27 Ekim 2014 Pazartesi 11:59 PDT saatleri arasında yükseltilecektir. Değiştir işlemini kullanarak bakım pencerenizden önce istediğiniz zaman yükseltme yapabilirsiniz. Bu zorunlu yükseltmenin Otomatik Küçük Sürüm Yükseltme seçeneği için 'Hayır' seçeneğinin seçmiş olsanız bile gerçekleşeceğine dikkat edin.

Bu açıklar hakkında daha fazla bilgi için lütfen şu adresleri ziyaret edin:

Veritabanı örneğinizi yükseltme hakkında daha fazla bilgi için lütfen şu adresi ziyaret edin: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html