أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للاطلاع على أحدث إصدار، يُرجى زيارة: "بيان بالبحث المتعلق بالإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة".
بخصوص: CVE-2017-5715، CVE-2017-5753، CVE-2017-5754
تم التحديث بداية من: 12/01/2018، الساعة 17:00 بتوقيت المحيط الهادئ
هذا تحديث لهذه المشكلة.
لقد تم توفير إصدار نواة آخر لنظام Amazon Linux لمعالجة أخطاء KPTI وتحسين عمليات الحد من التهديد CVE-2017-5754. يجب على العملاء الترقية إلى أحدث نواة لنظام Amazon Linux أو AMI للتخفيف من مشكلات العملية إلى العملية للتهديد CVE-2017-5754 بفعالية داخل المثيل الخاص بهم. طالع أدناه معلومات حول "Amazon Linux AMI".
يُرجى الاطلاع أدناه على معلومات حول "دليل مثيلات PV" فيما يتعلق بالمثيلات المعززة بحوسبة البيئة الافتراضية (PV).
Amazon EC2
تتم حماية جميع المثيلات عبر مجموعة خدمات Amazon EC2 من جميع مشكلات المثيل إلى المثيل المعروفة التي تتضمنها قوائم CVE التي تم سردها مسبقًا. تفترض مشكلات المثيل إلى المثيل وجود مثيل مجاور غير موثوق به يستطيع قراءة ذاكرة مثيل آخر أو مراقب الأجهزة الافتراضية لدى AWS. تمت معالجة هذه المشكلة لمراقب الأجهزة الافتراضية لدى AWS، ولا يستطيع أي مثيل قراءة ذاكرة مثيل آخر أو قراءة ذاكرة مراقب الأجهزة الافتراضية لدى AWS. كما ذكرنا، لم نلحظ أي تأثير ملحوظ على الأداء للأغلبية الكبيرة لأعباء عمل EC2.
لقد حددنا مجموعة صغيرة من أعطال المثيلات والتطبيقات الناتجة عن تحديثات التعليمة البرمجية المصغرة لمعالجات Intel، ونعمل على حلها بشكل مباشر لدى العملاء المتضررين. لقد أتممنا مؤخرًا تعطيل أجزاء التعليمة البرمجية المصغرة الجديدة لوحدة معالجة مركزية من Intel للأنظمة الأساسية في AWS حيث لاحظنا وجود هذه المشكلات. وقد بدا أن هذا الأمر يخفف من وجود مشكلات في هذه المثيلات. ما تزال جميع المثيلات في نطاق مجموعة مستخدمي Amazon EC2 محمية من جميع ناقلات التهديد المعروفة. توفر التعليمة البرمجية المصغرة لمعالجات Intel حماية إضافية ضد ناقلات التهديد النظرية من المشكلة CVE-2017-5715. نتوقع إعادة تنشيط طبقات الحماية الإضافية هذه (بالإضافة إلى بعض تحسينات الأداء التي نعمل عليها) في القريب العاجل بمجرد أن تقوم Intel بتوفير تعليمة برمجية مصغرة محدثة.
الإجراءات الموصى بها للعملاء بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail
على الرغم من حماية جميع المثيلات للعملاء، كما هو موضح فيما سبق، إلا أننا نوصي هؤلاء العملاء بتصحيح أنظمة التشغيل للمثيلات الخاصة بهم لعزل البرنامج الذي يعمل في نطاق المثيل ذاته وبتقليل مشكلات العملية إلى العملية للتهديد CVE-2017-5754. لمزيد من التفاصيل، ارجع إلى دليل البائع المحدد بشأن مدى توفر التصحيح والنشر.
دليل البائع المحدد:
- Amazon Linux – إليك المزيد من التفاصيل.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
بالنسبة لأنظمة التشغيل غير المدرجة، ينبغي رجوع العملاء إلى بائع نظام التشغيل أو AMI لطلب التحديثات والتعليمات.
دليل مثيلات PV
بعد إجراء بحث مستمر وتحليل مفصل بخصوص تصحيحات نظام التشغيل المتوفرة لهذه المشكلة، تبين لنا أن أساليب حماية نظام التشغيل غير كافية لمعالجة المشكلات التي تكون بين العملية والأخرى في نطاق مثيلات البيئة الافتراضية (PV). بالرغم من أن مثيلات PV محمية بمراقب الأجهزة الافتراضية في AWS من أي مشكلات تكون بين مثيل وآخر على النحو الموضح أعلاه، فإن العملاء الذين لديهم مخاوف بشأن عزل العملية في نطاق مثيلات البيئة الافتراضية الخاصة بهم (مثل، معالجة بيانات غير موثوق بها، تشغيل تعليمة برمجية غير موثوق بها، استضافة مستخدمين غير موثوق بهم)، يُشجعون بشدة على الترحيل إلى أنواع مثيل HVM للاستفادة من مزايا الأمان على المدى الطويل.
لمزيد من المعلومات بشأن أوجه الاختلاف بين مثيلات PV وHVM (بالإضافة إلى وثائق مسار ترقية المثيلات)، يرجى الاطلاع على:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
يمكنك الرجوع إلى الدعمإذا كنت بحاجة إلى مساعدة بخصوص مسار ترقية إلى أي من مثيلات PV.
تحديثات خدمات AWS الأخرى
تطلبت الخدمات التالية تصحيح مثيلات EC2 التي تُدار بالنيابة عن العملاء، وقد اكتمل العمل كله، ولا حاجة لأي إجراء من جانب العميل:
- Fargate
- Lambda
لا تتطلب جميع خدمات AWS الأخرى أي إجراء من جانب العميل، ما لم يُذكر خلاف ذلك فيما يلي.
Amazon Linux AMI (معرّف النشرة: ALAS-2018-939)
يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. أما مثيلات EC2 التي تم طرحها مع تكوين Amazon Linux الافتراضي قبل 8 يناير 2018 أو بعد ذلك؛ فستتضمن تلقائيًا الحزمة المحدثة التي تعالج أخطاء KPTI وتحسن عمليات الحد للإصدار CVE-2017-5754.
ملاحظة: يجب على العملاء الترقية إلى أحدث نواة لنظام Amazon Linux أو AMI للحد من مشكلة CVE-2017-5754 بفعالية داخل المثيل. سنستمر في توفير تحسينات على نظام Amazon Linux وتحديث وحدات AMI لنظام Amazon Linux؛ وذلك عن طريق دمج مساهمات مجتمع Linux مفتوحة المصدر يمكنها معالجة هذه المشكلة فور توفرها.
يجب أن يقوم العملاء الذين لديهم مثيلات Amazon Linux AMI حالية بتشغيل الأمر التالي لضمان تلقيهم الحزمة المحدثة:
نواة تحديث sudo yum
يجب إجراء إعادة التشغيل حتى تصبح التحديثات سارية المفعول، لأن ذلك هو معيار أي تحديث لنواة نظام Linux بعد اكتمال تحديث yum.
يتوفر مزيد من المعلومات حول هذه النشرة في مركز أمان Amazon Linux AMI.
وبشأن Amazon Linux 2، يرجى اتباع التعليمات الخاصة بنظام Amazon Linux المذكورة فيما سبق.
EC2 Windows
لقد حدّثنا وحدات AMI لنظام AWS Windows. هذه التحديثات متوفرة الآن لاستخدام العملاء، كما أن وحدات AMI في AWS Windows تتضمن تثبيت التصحيح اللازم وتمكين مفاتيح السجل.
لقد وفرت شركة Microsoft تصحيحات Windows لأنظمة Server 2008R2 و2012R2 و2016. تتوفر التصحيحات من خلال خدمة تحديث Windows المدمجة في نظام Server 2016. وننتظر معلومات من Microsoft عن توفُّر التصحيح لأنظمة Server 2003 و2008SP2 و2012RTM.
ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع تفعيل "التحديثات التلقائية"، تشغيل التحديثات التلقائية من أجل تنزيل التحديثات الضرورية لنظام Windows وتثبيتها عند توفُّرها.
يُرجى العلم أن تصحيحات Server 2008R2 و2012R2 غير متوفرة حاليًا من خلال تحديث Windows، وبالتالي تتطلب التنزيل يدويًا. سبق أن أشارت Microsoft إلى أن هذه التصحيحات ستتوفر في يوم الثلاثاء الموافق 9 يناير، ولكننا لا نزال ننتظر معلومات بشأن توفرها.
ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع عدم تفعيل "التحديثات التلقائية"، تنزيل التحديثات اللازمة يدويًا عند توفُّرها باتباع التعليمات الواردة في هذا الرابط: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
يرجى العلم أنه بالنسبة لنظام Windows Server، فإن Microsoft تطلب خطوات إضافية لتمكين ميزات الحماية للتحديث الخاص بها لحل هذه المشكلة، وهذه الخطوات موضحة على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS Optimized AMI
لقد أطلقنا نظام Amazon ECS Optimized AMI الإصدار 2017.09.f الذي يدمج جميع طبقات حماية Amazon Linux الخاصة بهذه المشكلة، بما في ذلك التحديث الثاني لنواة نظام Amazon Linux المذكور سابقًا. ننصح جميع عملاء Amazon ECS بالترقية إلى هذا الإصدار الأخير المتوفر على AWS Marketplace. سنستمر في دمج تحسينات Amazon Linux فور توفرها.
ينبغي على العملاء الذين يختارون تحديث مثيلات ECS Optimized AMI المتاحة حاليًا تشغيل الأمر التالي لضمان تلقي الحزمة المُحدثة:
نواة تحديث sudo yum
وفقًا للمعيار المعمول به عند أي تحديث نواة لنظام Linux، بعد إتمام تحديث yum، يلزم إعادة التشغيل حتى تعمل التحديثات.
ننصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل، أو برنامج، أو AMI بديل/خارجي بخصوص التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.
نجري تحديثات لنظام Amazon ECS-optimized Windows AMI، وسنحدّث النشرة عند توفرها. لقد وفرت شركة Microsoft تصحيحات Windows لنظام Server 2016. لمعرفة التفاصيل حول تطبيق التصحيحات وتشغيل المثيلات، يُرجى زيارة الموقع https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
لقد حدّثنا جميع الأنظمة الأساسية القائمة على نظام Linux وقمنا بتضمين أدوات حماية Amazon Linux لهذه المشكلة. انظر ملاحظات الإصدار للاطلاع على إصدارات محددة للنظام الأساسي. ننصح عملاء Elastic Beanstalk بتحديث بيئاتهم إلى أحدث إصدار متوفر من النظام الأساسي. ستُحدث البيئات التي تستخدم التحديثات المُدارة تلقائيًا أثناء فتح نافذة الصيانة المكونة.
كذلك تم تحديث الأنظمة الأساسية التي تعمل بنظام Windows كي تتضمن جميع طبقات حماية EC2 Windows لهذه المشكلة. وننصح العملاء بتحديث بيئات Elastic Beanstalk المستندة إلى نظام Windows إلى أحدث تكوين متوفر من النظام الأساسي.
EMR
تطلق Amazon EMR مجموعات مثيلات Amazon EC2 التي تشغل Amazon Linux نيابة عن العملاء في حساب العميل. وينبغي للعملاء المهتمين بعزل العمليات داخل مثيلات مجموعات Amazon EMR لديهم الترقية إلى أحدث نواة من Amazon Linux وفقًا للتوصيات السابقة. نحن بصدد دمج أحدث نواة لنظام Amazon Linux ضمن إصدار ثانوي جديد في الفرع 5.11.x والفرع 4.9.x. سيتمكن العملاء من إنشاء مجموعات Amazon EMR جديدة باستخدام هذه الإصدارات. وسنحدّث نشرة الأمان هذه فور توفر هذه الإصدارات.
بالنسبة لإصدارات Amazon EMR الحالية وأي مثيلات مرتبطة قد تكون مشغلة من جانب العميل، فإننا ننصح بالتحديث إلى أحدث نواة لنظام Amazon Linux وفقًا للتوصيات السابقة. بالنسبة للمجموعات الجديدة، يمكن للعملاء استخدام إجراء التمهيد لتحديث نواة Linux وإعادة تشغيل كل مثيل. بالنسبة للمجموعات قيد التشغيل، يمكن للعملاء تسهيل تحديث نواة نظام Linux وإعادة التشغيل لكل مثيل في مجموعته بطريقة التناوب. يرجى العلم أن إعادة تشغيل عمليات معينة يمكن أن تؤثر في التطبيقات قيد التشغيل في المجموعة.
RDS
يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة بواسطة RDS فقط لتشغيل محرك قاعدة بيانات عميل واحد فقط، شريطة عدم وجود أي عمليات أخرى يمكن الوصول إليها لدى العميل وعدم تمكين العملاء من تشغيل أي تعليمة برمجية على المثيل الأساسي. بما أن AWS قد انتهت من حماية البنية الأساسية التي تقوم عليها RDS بالكامل، فلن تشكّل المخاوف المتعلقة بنقل البيانات من عملية إلى عملية أخرى أو من عملية إلى نواة والناتجة عن هذه المشكلة أي خطورة على العملاء. لم تواجه معظم برامج دعم محركات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. فيما يلي تفاصيل إضافية محددة للمحركات، ولا يلزم أن يتخذ العميل أي إجراء ما لم يُذكر خلاف ذلك. سنقوم بتحديث هذه النشرة بمجرد إتاحة مزيد من المعلومات.
بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
بالنسبة إلى RDS PostgreSQL وAurora PostgreSQL، لا يلزم أن يتخذ العملاء أي إجراء في مثيلات DB العاملة بالتكوين الافتراضي حاليًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
لا يلزم أن يتخذ العميل أي إجراء حاليًا بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.
VMware Cloud on AWS
لكل VMware، تم تقديم "المعالجة كما هي موثقة في VMSA-2018-0002، في VMware Cloud on AWS منذ أوائل ديسمبر 2017".
يرجى الرجوع إلى مدونة الأمان والامتثال في VMware لمزيد من التفاصيل والاطلاع على الموقع https://status.vmware-services.io لمعرفة الحالة المحدثة.
WorkSpaces
ستطبّق AWS تحديثات الأمان التي أصدرتها Microsoft على معظم تطبيقات AWS WorkSpaces خلال عطلة نهاية الأسبوع القادم. يجب على العملاء توقع إعادة تشغيل تطبيقات WorkSpaces لديهم في هذه الفترة.
وينبغي لعملاء Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبّقوا تحديثات الأمان التي توفرها Microsoft يدويًا.
يُرجى اتّباع التعليمات المقدّمة من قسم استشارات الأمان من Microsoft على الرابط التالي: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient لتوفير المزيد من المعلومات المحددة.
ستتوفر حزم WorkSpaces المزودة بتحديثات الأمان قريبًا. يجب على العملاء الذين أنشئوا حزمًا مخصصة تحديث هذه الحزم بأنفسهم لتتضمن تحديثات الأمان. سيتلقى أي تطبيق جديد من تطبيقات WorkSpaces تم إطلاقه من حزم غير محدّثة تصحيحات حزم البرامج بمجرد إطلاقه ما لم يقم العملاء بتغيير إعداد التحديث الافتراضي في WorkSpaces لديهم. وإذا كانوا قد قاموا بتغييرها، فيجب عليهم اتباع الخطوات المذكورة أعلاه لتطبيق تحديثات الأمان المقدمة من Microsoft يدويًا.
WorkSpaces Application Manager (WAM)
نوصي العملاء باختيار أحد الإجراءين التاليين:
الخيار 1: تطبيق تصحيحات حزم البرامج المقدمة من Microsoft يدويًا على المثيلات المشغّلة لأداة إنشاء الحزم والتحقّق من الصحة في نظام الإدارة WAM باتباع هذه الخطوات المقدمة من Microsoft على الرابط https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. توفّر هذه الصفحة تعليمات وروابط تنزيل إضافية لنظام Windows Server.
الخيار 2: إعادة إنشاء مثيلات EC2 جديدة لأداة التعبئة والتحقّق WAM من وحدات AMI المحدّثة لأداة التعبئة والتحقّق WAM التي ستتم إتاحتها بحلول نهاية يوم (04/01/2018).