話題の記事

【緊急】RDS for MySQL アップデートのお知らせ

2014.10.18

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは植木和樹です。本日10月17日付けでMySQL 5.5/5.6に対する脆弱性が発表されています。これはAWSのRDSも対象となっています。

上記ページのリンク先にあるOracleの発表を読むと、「ユーザーパスワード認証なしに悪意のあるコードを実行できる」とあります。

訂正:2014/10/18 9:10

最初に公開した内容の一部に2点誤りがありました。

  • 日本時間 10/18(土)に強制アップグレードされるインスタンスはPublicly Accessibleの設定に関係なく、セキュリティーグループが無条件解放になっているインスタンスが対象となります
  • 日本時間 10/18(土)に強制アップグレードされるインスタンスはメンテナンスウィンドウに関係なく、アップグレードされます。

RDSへの影響

影響

MySQLのマイナーバージョンアップグレードが強制的に実施・インスタンスリブートされ、数分間データベースへアクセスできなくなります。

データベースエンジンはMySQLのみ

対象はMySQLのみとなっています。PostgreSQL、Oracle、MS-SQL Serverは対象外です。

対象となるMySQLのバージョン

  • MySQL 5.5.40 より古いバージョン
  • または 5.6.21 より古いバージョン

対象となるインスタンス

すべてのMySQLインスタンスが対象になります。

セキュリティグループにソース「0.0.0.0/0」で許可の指定が入っている場合

  • RDSのセキュリティグループが 0.0.0.0/0 で解放されているインスタンス

10/18(土) AM4時(日本時間)以降のメンテナンスウィンドウで強制的にアップデートされます。強制アップグレードを待たずに、手動でアップデートすることも可能です。

セキュリティグループにソース「0.0.0.0/0」で許可の指定がない場合

10/21(火) AM4時(日本時間)〜10/28 AM4時までのメンテナンスウィンドウ内で強制アップデートされます。

下記条件であっても対象になります。

  • Auto Minor Version Upgrade option がNoになっている

対応について

セキュリティグループで、「0.0.0.0/0」を許可している場合は、アクセス元の制限を実施してください。

  • 制限しない場合、10/18 4:00 AM以降、最も早いメンテナンスウィンドウにアップデートが発生します
  • メンテナンス期間を、10/21 4:00 AM以降に延期することが可能です
  • パブリックアクセスがNoのRDSインスタンスは、「0.0.0.0/0」を許可のルールがあっても実質的にはインターネットからの接続は遮断されてますが、今回のアップデートでは、「0.0.0.0/0」許可の有無でスケジュールされるため、アクセス元制限をお勧めします。

制限した場合は、10月21日以降アップグレードされます。これはインスタンスに設定されたメンテナンスウィンドウの時間内で実行されますので、サービスに影響のない曜日・時間帯になっているか改めてご確認ください。

ご不明な点があればAWSサポート、またはご契約中のAWSコンサルティングパートナーまでご相談ください。