Thông tin bảo mật Amazon RDS – MySQL

29/10/2014 4:30 CH PDT - Cập nhật -

 

Cập nhật bảo mật cho MySQL 5.1

Chúng tôi đã xác định rằng một số vấn đề bảo mật được Oracle công bố cho MySQL 5.5 và 5.6 tại đây: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL có thể ảnh hưởng MySQL 5.1. Như đã trình bày trong https://www.mysql.com/support/eol-notice.html, Oracle đã chuyển MySQL 5.1 sang Sustaining Support (Hỗ trợ duy trì) vào tháng 12 năm 2013 và sẽ không cung cấp bản vá cho phiên bản này nữa. Để tiếp tục nhận các bản vá MySQL về tính bảo mật và độ tin cậy thì khách hàng đang chạy MySQL 5.1 nên thực hiện một đợt nâng cấp lớn lên các phiên bản MySQL mới nhất là 5.5 và 5.6 sau khi kiểm tra tính tương thích của ứng dụng. Thông tin chi tiết về việc tiến hành đợt nâng cấp này có tại: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Nhằm giúp khách hàng có thêm thời gian để kiểm tra tính tương thích và tiến hành đợt nâng cấp phiên bản lớn, chúng tôi đã phát hành một tiểu phiên bản mới là MySQL 5.1, 5.1.73a. Phiên bản này có các bản sửa lỗi bảo mật cho CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 và CVE-2014-6559 được thêm vào MySQL 5.1.73. Các phiên bản MySQL 5.1 RDS được cấu hình với hướng dẫn thực hành tốt nhất về việc sử dụng các nhóm bảo mật truy cập bị hạn chế sẽ được nâng cấp lên MySQL 5.1.73a trong các khoảng thời gian bảo trì thông thường của chúng trong khoảng thời gian từ ngày 30 tháng 10 năm 2014 23:00 UTC đến ngày 06 tháng 11 năm 2014 22:59 UTC. Bất kỳ phiên bản RDS nào vẫn được cấu hình với các nhóm bảo mật cung cấp quyền truy cập không hạn chế từ Internet (quy tắc xâm nhập chỉ định 0.0.0.0/0) trước ngày 30 tháng 10 năm 2014 17:00 UTC sẽ được tự động nâng cấp lên 5.1.73a sau thời gian đó, trước khoảng thời gian bảo trì của chúng. Để biết thêm thông tin về cách cấu hình lại quyền truy cập vào các phiên bản RDS, vui lòng tham khảo: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html. Người dùng cũng có thể nâng cấp lên tiểu phiên bản này bất kỳ lúc nào trước khoảng thời gian bảo trì của mình bằng cách sử dụng thao tác Sửa đổi: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html. Lưu ý rằng việc nâng cấp bắt buộc này sẽ diễn ra ngay cả đối với các trường hợp lựa chọn ’Không’ cho tùy chọn Nâng cấp tiểu phiên bản tự động.

-------------------------------------------------------------------------------------------------

 

 

24/10/2014 5:00 CH PDT - Cập nhật -



Các phiên bản MySQL 5.5 và 5.6 với các nhóm bảo mật được định cấu hình để cung cấp quyền truy cập không hạn chế vào Internet:

Tất cả các phiên bản MySQL 5.5 và 5.6 vẫn được cấu hình với quyền truy cập không bị hạn chế (quy tắc CIDR 0.0.0.0/0) từ Internet vào ngày 17 tháng 10 năm 2014 19:00 UTC đã lần lượt được nâng cấp lên MySQL 5.5.40 và 5.6.21 vào ngày 19 tháng 10 năm 2014.

Phiên bản MySQL 5.5 với truy cập hạn chế từ Internet:

Chúng tôi đã bắt đầu nâng cấp các phiên bản MySQL 5.5 này lên 5.5.40 trong các khoảng thời gian bảo trì do khách hàng xác định vào ngày 20 tháng 10 năm 2014 lúc 22:30 UTC. Chúng tôi sẽ hoàn thành các nâng cấp này trước ngày 27 tháng 10 năm 2014 lúc 22:29 UTC.

Phiên bản MySQL 5.6 với truy cập hạn chế từ Internet:

Việc nâng cấp phiên bản 5.6 với các nhóm bảo mật không dành cho Internet ban đầu được lên kế hoạch bắt đầu vào ngày 20 tháng 10 năm 2014. Bản nâng cấp này chưa bắt đầu vì chúng tôi đã xác định một điều kiện trong đó bản sao đọc MySQL 5.6 có thể gặp sự cố sau khi nâng cấp lên 5.6.21. Điều này có liên quan đến định dạng lưu trữ MySQL cho các cột ngày và dấu thời gian đã được giới thiệu trong MySQL 5.6.4: https://dev.mysql.com/doc/refman/5.6/en/upgrading-from-previous-series.html.

Do thay đổi định dạng này, bản sao đọc MySQL 5.6.21 có thể gặp sự cố khi nhận giao dịch được ghi theo hàng sửa đổi cột ngày hoặc dấu thời gian từ bản cái MySQL của bất kỳ phiên bản nào được tạo bằng (hoặc nâng cấp từ) phiên bản MySQL thấp hơn 5.6.4. Một tùy chọn để giải quyết vấn đề này được ghi lại trong phần "Các vấn đề và giới hạn đã biết": http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.KnownIssuesAndLimitations.

Ngoài ra, do không tương thích với cách các blob được ghi bắt đầu trong MySQL 5.6.20, khách hàng muốn sửa đổi các blob lớn hơn 12,8 MB sẽ cần điều chỉnh tham số "innodb_log_file_size" của họ gấp 10 lần kích thước blob lớn nhất họ muốn sửa đổi. Để biết thông tin về thay đổi này, vui lòng xem: http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-20.html.

Để cung cấp cho khách hàng lợi ích của các bản cập nhật bảo mật mà không gặp phải các vấn đề tương thích ở trên, chúng tôi đã phát hành một tiểu phiên bản MySQL 5.6 mới, 5.6.19a. Phiên bản này có các bản sửa lỗi bảo mật cho CVE-2014-6491, CVE-2014-6494, CVE-2014-6500 và CVE-2014-6559 được thêm vào MySQL 5.6.19. Chúng tôi sẽ nâng cấp tất cả các phiên bản MySQL 5.6 hiện ở 5.6.19 hoặc thấp hơn lên 5.6.19a trong khoảng thời gian bảo trì do khách hàng xác định trong khoảng thời gian từ ngày 28 tháng 10 năm 2014 19:00 UTC đến ngày 04 tháng 11 năm 2014 18:59 UTC. Bạn cũng có thể nâng cấp lên tiểu phiên bản này vào thời điểm bạn chọn trước khoảng thời gian bảo trì của mình bằng cách sử dụng thao tác Sửa đổi: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html.

Lưu ý rằng việc nâng cấp bắt buộc này sẽ diễn ra ngay cả nếu bạn lựa chọn 'Không' cho tùy chọn Nâng cấp tiểu phiên bản tự động.

Nếu bạn đã nâng cấp phiên bản MySQL 5.6 của mình lên MySQL 5.6.21, vui lòng xem lại phần "Các vấn đề và giới hạn đã biết" được thảo luận ở phía trên và nếu có thể, hãy thực hiện các bước được mô tả trong phần đó.

-------------------------------------------------------------------------------------------------

 

 

Vào ngày 16 tháng 10, Oracle đã công bố các lỗ hổng bảo mật và các bản vá phần mềm liên quan ảnh hưởng đến MySQL 5.5 và 5.6: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL. Các phiên bản RDS tuân theo hướng dẫn thực hành tốt nhất về việc sử dụng các nhóm bảo mật truy cập bị hạn chế sẽ được nâng cấp lên các phiên bản mới có các bản vá MySQL 5.5.40 hoặc 5.6.21 trong các cửa sổ bảo trì thông thường của chúng. Đối với các phiên bản RDS mà khách hàng đã định cấu hình truy cập không hạn chế từ Internet (ví dụ: quy tắc CIDR có hậu tố /0), chúng tôi khuyên khách hàng thay đổi ngay lập tức các nhóm bảo mật của mình để hạn chế quyền truy cập trên các cổng cơ sở dữ liệu vào các địa chỉ IP nguồn nơi bắt nguồn kết nối hợp pháp với cơ sở dữ liệu. Điều này sẽ giảm thiểu các lỗ hổng bảo mật. Để biết thông tin về cách cấu hình lại quyền truy cập vào cơ sở dữ liệu của bạn, vui lòng tham khảo: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.

Để giải quyết đầy đủ các lỗ hổng này, các phiên bản cơ sở dữ liệu của bạn phải được nâng cấp lên MySQL 5.5.40 hoặc 5.6.21. Amazon RDS sẽ cung cấp các phiên bản MySQL mới trước 12:00 CH PDT vào thứ Sáu, ngày 17 tháng 10 năm 2014. Khách hàng có thể chọn nâng cấp thủ công các phiên bản vào thời điểm đó hoặc đợi cửa sổ bảo trì định kỳ tiếp theo, trong lúc đó chúng tôi sẽ tự động thực hiện nâng cấp. Vào thời điểm nâng cấp, các phiên bản cơ sở dữ liệu của bạn (dù là một Vùng sẵn sàng hay nhiều Vùng sẵn sàng) đều sẽ phải khởi động lại và không hoạt động trong ít phút.

Bất kỳ phiên bản RDS nào tiếp tục cho phép truy cập không hạn chế từ Internet trước 12:00 CH PDT vào thứ Sáu, ngày 17 tháng 10 năm 2014 sẽ được tự động nâng cấp sau thời gian đó, trước cửa sổ bảo trì của chúng. Ngoài ra, các phiên bản cơ sở dữ liệu 5.5 và 5.6 chưa được khách hàng nâng cấp, bất kể trạng thái của nhóm bảo mật của chúng, sẽ được nâng cấp trong các cửa sổ bảo trì trong khoảng từ 12:00 CH PDT vào thứ Hai, ngày 20 tháng 10 năm 2014 và 11:59 SA PDT vào thứ Hai, ngày 27 tháng 10 năm 2014. Bạn có thể nâng cấp tại thời điểm bạn chọn trước cửa sổ bảo trì bằng cách sử dụng thao tác Sửa đổi. Lưu ý rằng việc nâng cấp bắt buộc này sẽ diễn ra ngay cả nếu bạn lựa chọn 'Không' cho tùy chọn Nâng cấp tiểu phiên bản tự động.

Để biết thêm thông tin về các lỗ hổng này, vui lòng truy cập:

Để biết thêm thông tin về việc nâng cấp phiên bản cơ sở dữ liệu, vui lòng truy cập vào: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeInstance.html