فيما يخص: CVE-2017-5715 وCVE-2017-5753 وCVE-2017-5754
تم التحديث بداية من: 2018/03/05 3:00 مساءً بتوقيت منطقة المحيط الهادئ
هذا تحديث لهذه المشكلة.
يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. مثيلات EC2 التي تم إطلاقها بالتكوين الافتراضي Amazon Linux في 13 يناير 2018 أو بعد ذلك، ستتضمن تلقائيًا الحزمة المحدثة التي تضم أحدث التحسينات الأمنية المستقرة لنظام Linux مفتوح المصدر لمعالجة CVE-2017-5715 داخل النواة وتعتمد على Kernel Page Table Isolation (KPTI) المدمج سابقًا الذي يعالج CVE-2017-5754. يجب على العملاء الترقية إلى أحدث نواة لنظام Amazon Linux أو AMI للتخفيف بفعالية من المشكلات بين العمليات لدى CVE-2017-5715 والمشكلات بين العملية والنواة لدى CVE-2017-5754 ضمن المثيلات الموجودة لديهم. انظر "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة - تحديثات نظام التشغيل" للاطلاع على المزيد من المعلومات.
يُرجى الاطلاع أدناه على معلومات حول "دليل المثيلات شبه الافتراضية" فيما يتعلق بالمثيلات المعززة بالحوسبة شبه الافتراضية (PV).
Amazon EC2
تخضع جميع المثيلات على مستوى أسطول Amazon EC2 للحماية من جميع مشكلات المثيل إلى المثيل CVE-2017-5715 وCVE-2017-5753 وCVE-2017-5754 المعروفة. تفترض مشكلات المثيل إلى المثيل وجود مثيل مجاور غير موثوق به يستطيع قراءة ذاكرة مثيل آخر أو مراقب الأجهزة الافتراضية لدى AWS. تمت معالجة هذه المشكلة لمراقب الأجهزة الافتراضية لدى AWS، ولا يستطيع أي مثيل قراءة ذاكرة مثيل آخر أو قراءة ذاكرة مراقب الأجهزة الافتراضية لدى AWS. كما وضحنا سابقًا، لم نلحظ أي تأثير كبير على الأداء للأغلبية العظمى لأعباء عمل EC2.
اعتبارًا من 12 يناير 2018، أنهينا تعطيل أجزاء تعليمات Intel CPU البرمجية الصغيرة الجديدة للمنصات الموجودة في خدمات AWS والتي نشهد فيها عددًا قليلاً من التعطلات والسلوكيات غير المتوقعة الناجمة عن تحديثات تعليمات Intel البرمجية الصغيرة. لقد أدى هذا التغيير إلى تخفيف آثار هذه المشكلات لهذا العدد القليل من المثيلات.
الإجراءات التي يُنصح بها العملاء بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail
على الرغم من حماية جميع مثيلات العملاء كما هو موضح أعلاه، فإننا نوصي العملاء بتصحيح أنظمة التشغيل لدى مثيلاتهم لمعالجة المشكلات المرتبطة بالعملية إلى العملية أو العملية إلى النواة ضمن هذه المشكلة. يُرجى الاطلاع على "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة – تحديثات نظام التشغيل" للحصول على المزيد من الإرشادات والتعليمات بخصوص أنظمة Amazon Linux وAmazon Linux 2 وCentOS وDebian وFedora وMicrosoft Windows وRed Hat وSUSE وUbuntu.
دليل المثيلات شبه الافتراضية
بعد إجراء بحث مستمر وتحليل مفصل بخصوص تصحيحات نظام التشغيل المتوفرة لهذه المشكلة، فقد قررنا أن أساليب حماية نظام التشغيل غير كافية لمعالجة المشكلات التي تكون بين العملية والأخرى في نطاق مثيلات البيئة شبه الافتراضية. بالرغم من أن مثيلات PV محمية بمراقب الأجهزة الافتراضية في AWS من أي مشكلات تكون بين مثيل وآخر على النحو الموضح أعلاه، فإن العملاء الذين لديهم مخاوف بشأن عزل العملية في نطاق مثيلات البيئة الافتراضية الخاصة بهم (مثل، معالجة بيانات غير موثوق بها، تشغيل تعليمة برمجية غير موثوق بها، استضافة مستخدمين غير موثوق بهم)، يُشجعون بشدة على الترحيل إلى أنواع مثيل HVM للاستفادة من مزايا الأمان على المدى الطويل.
لمزيد من المعلومات بشأن أوجه الاختلاف بين مثيلات PV وHVM (بالإضافة إلى وثائق مسار ترقية المثيلات)، يرجى الاطلاع على:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
يُرجى الاستعانة بـ الدعم إذا كنت بحاجة إلى مساعدة بخصوص مسار ترقية لأي من مثيلات البيئة شبه الافتراضية.
تحديثات خدمات AWS الأخرى
تطلبت الخدمات التالية تصحيح مثيلات EC2 التي تُدار بالنيابة عن العملاء، وقد اكتمل العمل كله، ولا حاجة لأي إجراء من جانب العميل:
- Fargate
- Lambda
لا تتطلب جميع خدمات AWS الأخرى أي إجراء من جانب العميل، ما لم يُذكر خلاف ذلك فيما يلي.
ECS Optimized AMI
لقد أطلقنا الإصدار 2017.09.e من ECS Optimized AMI وهو يتضمن جميع إجراءات الحماية الموجودة في Amazon Linux المتعلقة بهذه المشكلة. ننصح جميع عملاء Amazon ECS بالترقية إلى أحدث إصدار متوفر على AWS Marketplace.
ينبغي على العملاء الذين يختارون تحديث مثيلات ECS Optimized AMI المتاحة حاليًا تشغيل الأمر التالي لضمان تلقي الحزمة المُحدثة:
sudo yum update kernel
وفقًا للمعيار المعمول به عند أي تحديث نواة لنظام Linux، بعد إتمام تحديث yum، يلزم إعادة التشغيل حتى تعمل التحديثات.
ننصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل، أو برنامج، أو AMI بديل/خارجي بخصوص التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.
لقد أطلقنا الإصدار 2018.01.10 من Amazon ECS Optimized Windows AMI. للاطلاع على التفاصيل المتعلقة بكيفية تطبيق التصحيحات على المثيلات العاملة، انظر "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة – تحديثات نظام التشغيل".
Elastic Beanstalk
لقد حدّثنا جميع الأنظمة الأساسية القائمة على نظام Linux وقمنا بتضمين أدوات حماية Amazon Linux لهذه المشكلة. انظر ملاحظات الإصدار للاطلاع على إصدارات محددة للنظام الأساسي. ننصح عملاء Elastic Beanstalk بتحديث بيئاتهم إلى أحدث إصدار متوفر من النظام الأساسي. ستُحدث البيئات التي تستخدم التحديثات المُدارة تلقائيًا أثناء فتح نافذة الصيانة المكونة.
كذلك تم تحديث الأنظمة الأساسية التي تعمل بنظام Windows كي تتضمن جميع طبقات حماية EC2 Windows لهذه المشكلة. وننصح العملاء بتحديث بيئات Elastic Beanstalk المستندة إلى نظام Windows إلى أحدث تكوين متوفر من النظام الأساسي.
ElastiCache
تكون كل عقدة من عُقد التخزين المؤقت الخاصة بالعملاء المدارة بواسطة ElastiCache مخصصة لكي تشغل فقط محرك تخزين مؤقت لعميل واحد، دون إتاحة أي عمليات وصول أخرى من جانب العميل مع تعطيل قدرة العملاء على تشغيل تعليمات برمجية على المثيل الرئيسي. نظرًا لأن AWS قد أتمت حماية جميع البنية التحتية الرئيسية لخدمة ElastiCache، فإن مشكلات العملية إلى النواة أو العملية إلى العملية لهذه المشكلة لا تشكل أي مخاطرة للعملاء. لم تُبلغ جهة الدعم لمحركي التخزين المؤقت لـ ElastiCache عن أي مشكلات معروفة متعلقة بالبنية الأساسية حتى الآن.
EMR
تطلق Amazon EMR مجموعات مثيلات Amazon EC2 التي تشغل Amazon Linux نيابة عن العملاء في حساب العميل. وينبغي للعملاء المهتمين بعزل العمليات داخل مثيلات مجموعات Amazon EMR لديهم الترقية إلى أحدث نواة من Amazon Linux وفقًا للتوصيات السابقة. لقد قمنا بتضمين أحدث أنوية Amazon Linux في الإصدارات الصغرى الجديدة 5.11.1 و5.8.1 و5.5.1 و4.9.3. ويستطيع العملاء إنشاء مجموعات Amazon EMR جديدة باستخدام هذه الإصدارات.
بالنسبة لإصدارات Amazon EMR الحالية وأي مثيلات مرتبطة قد تكون مشغلة من جانب العميل، فإننا ننصح بالتحديث إلى أحدث نواة Amazon Linux وفقًا للتوصيات السابقة. بالنسبة للمجموعات الجديدة، يمكن للعملاء استخدام إجراء التمهيد لتحديث نواة Linux وإعادة تشغيل كل مثيل. بالنسبة للمجموعات قيد التشغيل، يمكن للعملاء تسهيل تحديث نواة نظام Linux وإعادة التشغيل لكل مثيل في مجموعته بطريقة التناوب. يرجى العلم أن إعادة تشغيل عمليات معينة يمكن أن تؤثر في التطبيقات قيد التشغيل في المجموعة.
RDS
يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة بواسطة RDS فقط لتشغيل محرك قاعدة بيانات عميل واحد فقط، شريطة عدم وجود أي عمليات أخرى يمكن الوصول إليها لدى العميل وعدم تمكين العملاء من تشغيل أي تعليمة برمجية على المثيل الأساسي. بما أن AWS قد انتهت من حماية البنية التحتية التي تقوم عليها RDS بالكامل، فلن تشكّل المخاوف المتعلقة بنقل البيانات من عملية إلى عملية أخرى أو من عملية إلى نواة والناتجة عن هذه المشكلة أي خطورة على العملاء. لم تواجه معظم برامج دعم محركات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. توجد أدناه تفاصيل أخرى خاصة بالمحرك لقواعد البيانات، ولا يلزم أن يتخذ العميل أي إجراء ما لم يُخطر بغير ذلك.
بالنسبة لمثيلات RDS لقاعدة بيانات خادم SQL، فقد أصدرنا تصحيحات لنظام التشغيل والمحرك تحتوي على تصحيحات Microsoft في الإصدارات التالية:
SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)
ينبغي للعملاء مراجعة إرشادات Microsoft بخصوص تطبيق هذه التصحيحات وتطبيقها في أي وقت يرغبون به:
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
بالنسبة لـ RDS PostgreSQL وAurora PostgreSQL، لا يلزم أن يتخذ العملاء أي إجراء في مثيلات DB العاملة بالتكوين الافتراضي حاليًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
لا يلزم أن يتخذ العميل أي إجراء حاليًا بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.
VMware Cloud on AWS
لكل VMware، تم تقديم "المعالجة كما هي موثقة في VMSA-2018-0002، في VMware Cloud on AWS منذ أوائل ديسمبر/كانون الأول 2017".
يرجى الرجوع إلى مدونة الأمان والامتثال في VMware لمزيد من التفاصيل والاطلاع على الموقع https://status.vmware-services.io لمعرفة الحالة المحدثة.
WorkSpaces
لعملاء تجربة Windows 7 على Windows Server 2008 R2:
لقد أصدرت شركة Microsoft تحديثات أمنية جديدة لنظام Windows Server 2008 R2 من أجل هذه المشكلة. يتطلب التسليم الناجح لهذه التحديثات برنامج مكافحة فيروسات متوافقًا يعمل على الخادم على النحو المحدد في التحديث الأمني من خلال شركة Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. يحتاج عملاء WorkSpaces إلى اتخاذ إجراء للحصول على هذه التحديثات. يُرجى اتباع هذه التعليمات المقدمة من شركة Microsoft على الرابط: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
بالنسبة إلى عملاء تجربة Windows 10 على Windows Server 2016:
لقد طبقت AWS تحديثات أمنية على منصات WorkSpaces العاملة على تجربة Windows 10 على Windows Server 2016. يحتوي نظام Windows 10 على برنامج مكافحة الفيروسات المدمج Windows Defender المتوافق مع هذه التحديثات الأمنية. لا يلزم اتخاذ أي إجراء آخر من جهة العملاء.
بالنسبة إلى عملاء BYOL والعملاء الذين عدلوا إعدادات التحديث الافتراضية:
تُرجى ملاحظة أنه ينبغي للعملاء الذين يستخدمون ميزة Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبقوا تحديثات الأمان التي توفرها Microsoft يدويًا. إذا انطبقت عليك هذه الحالة، فيرجى اتباع التعليمات المقدمة من قسم استشارات الأمان من Microsoft على الرابط https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient لتوفير المزيد من المعلومات المحددة.
ستتوفر حزم WorkSpaces المزودة بتحديثات الأمان قريبًا. يجب على العملاء الذين أنشئوا حزمًا مخصصة تحديث هذه الحزم بأنفسهم لتتضمن تحديثات الأمان. أي منصة من منصات WorkSpaces الجديدة الصادرة من الحزم التي ليس لها تحديثات سوف تتلقى التصحيحات قريبًا بعد الإصدار، ما لم يقم العملاء بتغيير إعداد التحديث الافتراضي في منصات WorkSpaces الخاصة بهم أو تثبيت برنامج مكافحة فيروسات غير متوافق، حيث ينبغي لهم في هذه الحالة اتباع الخطوات المذكورة أعلاه لتطبيق التحديثات الأمنية المقدمة من Microsoft يدويًا.
WorkSpaces Application Manager (WAM)
نوصي العملاء باختيار أحد الإجراءين التاليين:
الخيار 1: تطبيق تحديثات Microsoft يدويًا على المثيلات العاملة لأداة التعبئة والتحقق من الصحة WAM من خلال اتباع هذه الخطوات المقدمة من Microsoft على https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. تقدم هذه الصفحة المزيد من التعليمات والتنزيلات ذات الصلة.
الخيار 2: إنهاء المثيلات الحالية الموجودة لديك لبرنامجي التعبئة والتحقق. قم بإصدار مثيلات جديدة باستخدام أدوات AMI المُحدَّثة الخاصة بنا المسماة بـ "Amazon WAM Admin Studio 1.5.1" و"Amazon WAM Admin Player 1.5.1".