Aurora MySQL v3.05.0.1 – MySQL 8.0.32 호환 (2023-10-30)

원본 문서: Aurora MySQL database engine updates 2023-10-30 (version 3.05.0.1, compatible with MySQL 8.0.32) Beta

버전: 3.05.0.1

Aurora MySQL 3.05.0.1이 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(캘리포니아 북부), 미국 서부(오레곤), AWS GovCloud(미국 동부) 및 AWS GovCloud(미국 서부) 리전에서 정식 출시되었습니다. 이는 보안 수정 사항만 포함된 초기 릴리스입니다. 이러한 수정 사항은 다음 패치 릴리스인 3.05.1에서 모든 리전에 걸쳐 더 광범위하게 배포될 예정입니다. Aurora MySQL 3.05 버전은 MySQL 8.0.32와 호환됩니다. 커뮤니티 변경 사항에 대한 자세한 내용은 MySQL 8.0 릴리스 노트를 참조하세요.

현재 지원되는 Aurora MySQL 릴리스는 2.07.*, 2.11.*, 2.12.*, 3.01.*, 3.02.*, 3.03.*, 3.04.*, 3.05.*입니다.

기존 Aurora MySQL 3.* 데이터베이스 클러스터를 Aurora MySQL 3.05.1로 업그레이드할 수 있습니다. 또한 현재 지원되는 모든 Aurora MySQL 릴리스의 스냅샷을 Aurora MySQL 3.05.1로 복원할 수 있습니다.

Aurora MySQL 글로벌 데이터베이스를 버전 3.05.*로 업그레이드하는 경우 기본 및 보조 DB 클러스터를 패치 수준을 포함하여 정확히 동일한 버전으로 업그레이드해야 합니다. Aurora 글로벌 데이터베이스의 마이너 버전 업그레이드에 대한 자세한 내용은 마이너 버전 업그레이드를 참조하세요.

질문이나 우려 사항이 있는 경우, 커뮤니티 포럼과 AWS 지원 페이지를 통해 통해 AWS의 지원을 받을 수 있습니다. 자세한 내용은 Amazon Aurora 사용자 가이드의 Amazon Aurora DB 클러스터 유지 관리에서 확인할 수 있습니다.

개선 사항

아래에 나열된 보안 문제 및 CVE 수정:

이 릴리스는 MySQL 8.0.32을 포함한 모든 커뮤니티 CVE 수정 사항을 포함합니다.

• CVE-2023-38545

-= 옮긴이 보충 설명 =- 
왜 5일만에 새로운 패치버전을 내놓았는지에 대한 설명이 따로 없었고, 패치된 내용은 하나 뿐인데, 

CVE-2023-38545는 curl 라이브러리의 SOCKS5 프록시 핸드셰이크 과정에서 발생하는 힙 기반 버퍼 오버플로우 취약점입니다. 이 취약점은 curl이 SOCKS5 프록시를 통해 호스트 이름을 전달할 때, 해당 호스트 이름이 255바이트를 초과하면 발생합니다. 이 경우, curl은 로컬에서 이름을 해석하고, 해석된 주소만 프록시에 전달해야 하지만, 버그로 인해 너무 긴 호스트 이름이 대상 버퍼에 복사되어 힙 기반 버퍼 오버플로우가 발생합니다. 
CURL
이 취약점은 curl 7.69.0부터 8.3.0까지의 버전에 영향을 미치며, 8.4.0 버전에서 수정되었습니다. 따라서, 해당 취약점을 방지하려면 curl을 8.4.0 이상으로 업데이트하는 것이 권장됩니다. 
CURL
이 취약점은 curl 라이브러리와 관련이 있으며, MySQL과는 직접적인 연관이 없습니다. 따라서, MySQL 자체의 버그로 인한 문제는 아닙니다.

다만 아래와 같은 이유 심각도가 높게 평가되었습니다. 
광범위한 사용: curl은 다양한 애플리케이션과 시스템에서 널리 사용되며, 이 취약점은 많은 시스템에 영향을 미칠 수 있습니다.
악용 가능성: 특정 조건에서 공격자가 이 취약점을 악용하여 시스템에 악성 코드를 실행하거나 데이터를 유출시킬 수 있습니다.

Aurora가 아닌 일반 MySQL의 경우 2023년 10월 25일에 출시된 8.0.35에서 이 문제를 해결했습니다. MySQL 8.0.35에서 부터 curl 라이브러리를 8.4.0을 사용하도록 변경되었습니다.(버그 #35897778)
헌데 같은날(2023년10월25일) 출시한 Aurora 3.05의 경우 MySQL 8.0.32기반으로 하고 있다보니 해당 취약점을 그대로 가지고 있었을 것입니다. 따라서 해당 버그에 대한 문제만 빠르게 수정 출시한 것으로 보입니다.

이 내용을 되돌려 생각해보면,
Aurora 3.05.0을 사용하거나, MySQL 8.0.34보다 낮은 버전을 사용하고 있다면 CVE-2023-38545에 해당하는 취약점 문제가 있을 수 있으니, 영향성을 테스트해보거나, 빠른 패치 적용이 필요할 것입니다.