Amazon RDS – MySQL 安全建議

2014/10/29 4:30PM PDT - 更新 -

 

MySQL 5.1 安全更新

我們已確認 Oracle 在 http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL 一文中公佈的 MySQL 5.5 與 5.6 安全問題,其中部分問題可能會影響 MySQL 5.1。誠如 https://www.mysql.com/support/eol-notice.html 一文所述,Oracle 在 2013 年 12 月將 MySQL 5.1 移入 Sustaining Support 之列,並且不再為其提供修補程式。若要繼續接收 MySQL 安全性和可靠性修補程式,我們建議執行 MySQL 5.1 的客戶在測試應用程式相容性之後,將主要版本升級至 MySQL 5.5 或 5.6 的最新版本。若需執行此升級作業的更多詳細資訊,請參閱:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html

為了讓客戶有更多時間可以測試相容性,以及執行主要版本升級,我們特地發佈了全新 MySQL 5.1 次要版本 5.1.73a。此版本已整合 CVE-2014-6491、CVE-2014-6494、CVE-2014-6500 和 CVE-2014-6559 的安全修正,新增至 MySQL 5.1.73。依最佳作法指導方針 (亦即使用限制存取的安全群組) 設定的 MySQL 5.1 RDS 執行個體,將於 2014 年 10 月 30 日 23:00 UTC 至 2014 年 11 月 06 日 22:59 UTC 的正常維護時段內,升級至 MySQL 5.1.73a。2014 年 10 月 30 日 17:00 UTC 前,若有任何 RDS 執行個體仍是以安全群組來設定,透過網際網路提供不受限制的存取權限 (輸入規則指定為 0.0.0.0/0),將會提前在其維護時段前,自動升級至 5.1.73a。如需重新設定 RDS 執行個體存取權限的相關資訊,請參閱:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html。使用者也可以使用 Modify (修改) 操作,在維護時段前隨時升級至此次要版本:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html。請注意,即使執行個體的「Auto Minor Version Upgrade (自動升級次要版本)」選項已選取「No」(否),系統仍會執行此強制升級。

-------------------------------------------------------------------------------------------------

 

 

2014/10/24 5:00PM PDT - 更新 -



以安全群組設為允許無限存取網際網路的 MySQL 5.5 和 5.6 執行個體:

2014 年 10 月 17 日 19:00 UTC 後,仍設定為允許透過網際網路無限存取 (CIDR 規則 0.0.0.0/0) 的所有 MySQL 5.5 和 5.6 執行個體,已在 2014 年 10 月 19 日前分別升級為 MySQL 5.5.40 和 5.6.21。

透過網際網路有限存取的 MySQL 5.5 執行個體:

我們已在 2014 年 10 月 20 日 22:30 UTC 於客戶定義的維護時段期間,開始將這些 MySQL 5.5 執行個體升級為 5.5.40。升級工作會在 2014 年 10 月 27 日 22:29 UTC 前完成。

透過網際網路有限存取的 MySQL 5.6 執行個體:

安全群組未開放給網際網路的 5.6 執行個體,其升級工作原訂於 2014 年 10 月 20 日開始。我們發現 MySQL 5.6 僅供讀取複本可能會在升級為 5.6.21 後損毀,因此這次升級並未開始執行。這個情況與 MySQL 5.6.4 中日期與時間戳記欄所使用的 MySQL 儲存格式有關:https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html

由於此格式變更,如果 MySQL 5.6.21 僅供讀取複本收到以列記錄的交易,試圖針對以 5.6.4 之前 MySQL 版本所建立 (或自 5.6.4 升級) 的任何 MySQL 主要版本,修改其日期或時間戳記欄,該僅供讀取複本便可能損毀。「已知問題與限制」一節記載了解決此問題的其中一個選項:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations

此外,由於自 MySQL 5.6.20 開始,Blob 的記錄方式發生不相容的情形,因此如果客戶需要修改大於 12.8 MB 的 Blob,需要將「innodb_log_file_size」參數調整成欲修改之最大 Blob 的 10 倍大小。如需此變更的資訊,請參閱:http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html

為提供客戶安全更新的好處,同時避免上述相容性問題,我們已發佈新的 MySQL 5.6 次要版本 5.6.19a。此版本已整合 CVE-2014-6491、CVE-2014-6494、CVE-2014-6500 和 CVE-2014-6559 的安全修正,新增至 MySQL 5.6.19。我們會在 2014 年 10 月 28 日 19:00 UTC 至 2014 年 11 月 4 日 18:59 UTC 期間,於客戶定義的維護時段中,將所有 5.6.19 或之前版本的 MySQL 5.6 執行個體升級為 5.6.19a。您也可以在維護時段前,使用 Modify (修改) 操作,在您選定的時間升級為此次要版本:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html

請注意,即使您已為「Auto Minor Version Upgrade (自動升級次要版本)」選項選取「No」(否),系統仍會執行此強制升級。

如果您已將 MySQL 5.6 執行個體升級為 MySQL 5.6.21,請參閱上述「已知問題與限制」一節,並依照該節所述步驟操作 (如適用)。

-------------------------------------------------------------------------------------------------

 

 

10 月 16 日當天,Oracle 公佈了會影響 MySQL 5.5 與 5.6 的安全漏洞與相關軟體修補程式:http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL。依最佳作法指導方針 (亦即使用限制存取的安全群組) 設定的 RDS 執行個體,將於正常維護時段內,升級至提供這些修補程式的 MySQL 5.5.40 或 5.6.21 新版本。若客戶已將 RDS 執行個體設為可透過網際網路無限存取 (例如尾碼為 /0 的 CIDR 規則),我們建議客戶立即變更安全群組,將資料庫連接埠的傳入存取限縮為來源 IP 位址,使用者只能透過這些 IP 位址合法連線資料庫。這能減少安全漏洞的風險。如需重新設定資料庫存取的相關資訊,請參閱:http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

若要完全解決這些漏洞,您的資料庫執行個體必須升級至 MySQL 5.5.40 或 5.6.21。Amazon RDS 會在 2014 年 10 月 17 日下午 12:00 PDT 推出全新 MySQL 版本。屆時,客戶可以選擇手動升級執行個體,或是等到下一次例行維護時段,再由系統自動執行升級作業。升級時,您的資料庫執行個體 (單一可用區域或多可用區域) 會重新啟動,並且會有幾分鐘無法使用。

2014 年 10 月 17 日下午 12:00 PDT 後,繼續允許透過網際網路無限存取的所有 RDS 執行個體,將會在維護時段之前自動升級。此外,不論安全群組的狀態為何,客戶尚未為其升級的 5.5 和 5.6 資料庫執行個體,將在 2014 年 10 月 20 日星期一下午 12:00 PDT 至 2014 年 10 月 27 日上午 11:59 PDT 之間的維護時段升級。您可以使用 Modify (修改) 操作,在維護時段前於您選定的時間升級。請注意,即使您已為「Auto Minor Version Upgrade (自動升級次要版本)」選項選取「No」(否),系統仍會執行此強制升級。

如需這些漏洞的詳細資訊,請造訪:

如需升級資料庫執行個體的詳細資訊,請瀏覽︰http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html