أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للإطلاع على أحدث إصدار، يُرجى زيارة: "بيان بالبحث المتعلق بالإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة".
بخصوص: CVE-2017-5715، CVE-2017-5753، CVE-2017-5754
تم التحديث بداية من: 2018/01/17 12:00 مساءً بالتوقيت القياسي لمنطقة المحيط الهادئ
هذا تحديث بشأن هذه المشكلة.
يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. مثيلات EC2 التي تم إطلاقها بالتكوين الافتراضي Amazon Linux في 13 يناير 2018 أو بعد ذلك، ستتضمن تلقائيًا الحزمة المحدثة التي تضم أحدث التحسينات الأمنية المستقرة لنظام Linux مفتوح المصدر لمعالجة CVE-2017-5715 داخل النواة وتعتمد على Kernel Page Table Isolation (KPTI) المدمج سابقًا الذي يعالج CVE-2017-5754. يجب على العملاء الترقية إلى أحدث نواة لنظام Amazon Linux أو AMI للتخفيف بفعالية من المشكلات بين العمليات لدى CVE-2017-5715 والمشكلات بين العملية والنواة لدى CVE-2017-5754 ضمن المثيلات الموجودة لديهم. انظر "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة - تحديثات نظام التشغيل" للاطلاع على المزيد من المعلومات.
يُرجى النظر إلى معلومات "دليل المثيلات شبه الافتراضية" أدناه فيما يتعلق بالمثيلات المعززة بالحوسبة شبه الافتراضية (PV).
Amazon EC2
تخضع جميع المثيلات على مستوى أسطول Amazon EC2 للحماية من جميع مشكلات المثيل إلى المثيل CVE-2017-5715 وCVE-2017-5753 وCVE-2017-5754 المعروفة. تفترض مشكلات المثيل إلى المثيل وجود مثيل مجاور غير موثوق به يستطيع قراءة ذاكرة مثيل آخر أو مراقب الأجهزة الافتراضية لدى AWS. تمت معالجة هذه المشكلة بالنسبة لمراقب الأجهزة الافتراضية لدى AWS، ولا يستطيع أي مثيل قراءة ذاكرة مثيل آخر، ولا يستطيع أي مثيل قراءة ذاكرة مراقب الأجهزة الافتراضية لدى AWS. كما وضحنا سابقًا، لم نلحظ أي تأثير واضح بالنسبة للغالبية العظمى من أعباء عمل EC2.
لقد حددنا مجموعة صغيرة من أعطال المثيلات والتطبيقات والتي نتجت عن تحديثات الرمز البرمجي الصغير لـ Intel، ونعمل على حلها بشكل مباشر لدى العملاء المتضررين. لقد أتممنا مؤخرًا تعطيل أجزاء الرمز البرمجي الصغير الجديد لوحدة المعالجة المركزية Intel للأنظمة الأساسية في AWS حيث لاحظنا وجود هذه المشكلات. وقد ساهم ذلك في التخفيف من حدة المشكلات لهذه المثيلات. تظل جميع المثيلات على نطاق أسطول Amazon EC2 محمية من جميع ناقلات التهديد المعروفة. يوفر الرمز البرمجي الصغير المعطل لدى Intel حماية إضافية ضد ناقلات التهديد النظرية من المشكلة CVE-2017-5715. نتوقع إعادة تنشيط طبقات الحماية الإضافية هذه (بالإضافة إلى بعض تحسينات الأداء التي نعمل عليها) في القريب العاجل بمجرد أن توفر Intel رمزًا برمجيًا صغيرًا محدّثًا.
إجراءات العملاء الموصى بها بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail
على الرغم من حماية جميع مثيلات العملاء كما هو موضح أعلاه، فإننا نوصي العملاء بتصحيح أنظمة التشغيل لدى مثيلاتهم لمعالجة المشكلات المرتبطة بالعملية إلى العملية أو العملية إلى النواة ضمن هذه المشكلة. يُرجى الاطلاع على "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة – تحديثات نظام التشغيل" للحصول على المزيد من الإرشادات والتعليمات بخصوص أنظمة Amazon Linux وAmazon Linux 2 وCentOS وDebian وFedora وMicrosoft Windows وRed Hat وSUSE وUbuntu.
دليل المثيلات شبه الافتراضية
بعد إجراء بحث مستمر وتحليل مفصل بخصوص تصحيحات نظام التشغيل المتوفرة لهذه المشكلة، فقد قررنا أن أساليب حماية نظام التشغيل غير كافية لمعالجة المشكلات التي تكون بين العملية والأخرى في نطاق مثيلات البيئة الافتراضية. بالرغم من أن مثيلات البيئة الافتراضية محمية بمراقب الأجهزة الافتراضية في AWS من أي مشكلات تكون بين مثيل وآخر على النحو الموضح أعلاه، فإن العملاء الذين لديهم مخاوف بشأن عزل العملية في نطاق مثيلات البيئة الافتراضية الخاصة بهم (مثل، معالجة بيانات غير موثوق بها، تشغيل رمز غير موثوق به، استضافة مستخدمين غير موثوق بهم)، يُشجعون بشدة على الترحيل إلى أنواع مثيل HVM للاستفادة من مزايا الأمان على المدى الطويل.
لمزيد من المعلومات بشأن أوجه الاختلاف بين البيئة الافتراضية وHVM (بالإضافة إلى وثائق مسار ترقية المثيلات)، يرجى الاطلاع على:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
يُرجى الاستعانة بـ الدعم إذا كنت بحاجة إلى مساعدة بخصوص مسار ترقية لأي من مثيلات البيئة الافتراضية.
تحديثات لخدمات AWS الأخرى
تطلبت الخدمات التالية تصحيح لمثيلات EC2 التي تُدار بالنيابة عن العملاء، وقد اكتمل العمل برمته، ولا حاجة لأي إجراء من جانب العميل:
- Fargate
- Lambda
لا تتطلب جميع خدمات AWS الأخرى أي إجراء من جانب العميل، ما لم يُذكر خلاف ذلك فيما يلي.
ECS Optimized AMI
لقد أطلقنا نظام Amazon ECS Optimized AMI الإصدار 2017.09.f الذي يدمج جميع طبقات حماية Amazon Linux الخاصة بهذه المشكلة، بما في ذلك التحديث الثاني لنواة النظام Amazon Linux المذكور سابقًا. وننصح جميع عملاء Amazon ECS بالترقية إلى أحدث إصدار متوفر على AWS Marketplace. سنستمر في إدماج تحسينات Amazon Linux فور توفُّرها.
ينبغي للعملاء، الذين يختارون تحديث مثيلات ECS Optimized AMI المتاحة حاليًا، تشغيل الأمر التالي لضمان تلقي الحزمة المحدثة:
نواة تحديث sudo yum
لأن هذا هو المعيار لأي تحديث لنواة Linux، فإنه بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.
يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل، أو برنامج، أو AMI بديل/خارجي بخصوص التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.
لقد أطلقنا الإصدار 2018.01.10 من Amazon ECS Optimized Windows AMI. للاطلاع على التفاصيل المتعلقة بكيفية تطبيق التصحيحات على المثيلات العاملة، انظر "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة – تحديثات نظام التشغيل".
Elastic Beanstalk
لقد حدّثنا جميع المنصات القائمة على نظام Linux وقمنا بتضمين أدوات حماية Amazon Linux لهذه المشكلة. انظر ملاحظات الإصدار للاطلاع على الإصدارات المحددة للمنصة. ننصح عملاء Elastic Beanstalk بتحديث بيئاتهم إلى أحدث إصدار متوفر من المنصة. البيئات التي تستخدم التحديثات المدارة سيتم تحديثها تلقائيًا أثناء الإطار الزمني للصيانة المكونة.
كذلك تم تحديث المنصات التي تعمل بنظام Windows كي تتضمن جميع طبقات حماية EC2 Windows لهذه المشكلة. وننصح العملاء بتحديث بيئات Elastic Beanstalk المستندة إلى نظام Windows إلى أحدث تكوين متوفر من النظام الأساسي.
ElastiCache
تكون كل عقدة من عُقد التخزين المؤقت الخاصة بالعملاء المدارة بواسطة ElastiCache مخصصة لكي تشغل فقط محرك تخزين مؤقت لعميل واحد، دون إتاحة أي عمليات وصول أخرى من جانب العميل مع تعطيل قدرة العملاء على تشغيل تعليمات برمجية على المثيل الكامن. نظرًا لأن AWS قد أتمت حماية جميع البنية التحتية الكامنة لخدمة ElastiCache، فإن مشكلات العملية إلى النواة أو العملية إلى العملية لهذه المشكلة لا تشكل أي مخاطرة للعملاء. لم تُبلغ جهة الدعم لكلا محركي التخزين المؤقت لـ ElastiCache عن أي مشكلات معروفة متعلقة بالبنية التحتية حتى الآن.
EMR
تطلق Amazon EMR مجموعات مثيلات Amazon EC2 التي تشغل Amazon Linux نيابة عن العملاء في حساب العميل. وينبغي للعملاء المهتمين بعزل العمليات داخل مثيلات مجموعات Amazon EMR لديهم الترقية إلى أحدث نواة من Amazon Linux وفقًا للتوصيات السابقة. نحن بصدد دمج أحدث نواة لنظام Amazon Linux ضمن إصدار ثانوي جديد في الفرع 5.11.x والفرع 4.9.x. سيتمكن العملاء من إنشاء مجموعات Amazon EMR جديدة باستخدام هذه الإصدارات. وسنحدّث نشرة الأمان هذه فور توفر هذه الإصدارات.
بالنسبة لإصدارات Amazon EMR الحالية وأي مثيلات مرتبطة قد تكون مشغلة من جانب العميل، فإننا ننصح بالتحديث إلى أحدث نواة Amazon Linux وفقًا للتوصيات السابقة. بالنسبة للمجموعات الجديدة، يمكن للعملاء استخدام إجراء التمهيد لتحديث نواة Linux وإعادة تشغيل كل مثيل. بالنسبة للمجموعات قيد التشغيل، يمكن للعملاء تسهيل تحديث نواة Linux وإعادة التشغيل لكل مثيل في مجموعته بطريقة التناوب. يرجى العلم أن إعادة تشغيل عمليات معينة يمكن أن تؤثر في التطبيقات قيد التشغيل في المجموعة.
RDS
يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة عن طريق RDS لتشغيل محرك قاعدة بيانات لعميل واحد فقط، مع عدم وجود عمليات أخرى مرتبطة بالعميل وعدم قدرة العملاء على تشغيل رمز برمجي على المثيل الأساسي. نظرًا لأن AWS قد أتمت حماية البنية الأساسية بأكملها التي تقوم عليها RDS، فإن المخاوف المتعلقة بالعملية إلى النواة أو العملية إلى العملية لهذه المشكلة لا تشكّل أي خطر على العملاء. لم تواجه معظم وسائل دعم محرّكات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. تتوفّر تفاصيل إضافية محددة للمحركات فيما يلي، ولا يلزم أن يتخذ العميل أي إجراء ما لم يُذكر خلاف ذلك.
بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
بالنسبة إلى RDS PostgreSQL وAurora PostgreSQL، لا يلزم أن يتخذ العملاء أي إجراء في مثيلات DB العاملة بالتكوين الافتراضي حاليًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
لا يلزم أن يتخذ العميل أي إجراء بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.
VMware Cloud on AWS
لكل VMware، تم تقديم "المعالجة كما هي موثقة في VMSA-2018-0002، في VMware Cloud on AWS منذ أوائل ديسمبر 2017".
يرجى الرجوع إلى مدونة الأمان والامتثال في VMware لمزيد من التفاصيل والاطلاع على الموقع https://status.vmware-services.io لمعرفة الحالة المحدثة.
WorkSpaces
لعملاء تجربة Windows 7 على Windows Server 2008 R2:
لقد أصدرت شركة Microsoft تحديثات أمنية جديدة لنظام Windows Server 2008 R2 من أجل هذه المشكلة. يتطلب التسليم الناجح لهذه التحديثات برنامج مكافحة فيروسات متوافقًا يعمل على الخادم على النحو المحدد في التحديث الأمني من خلال شركة Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. يحتاج عملاء WorkSpaces إلى اتخاذ إجراء للحصول على هذه التحديثات. يُرجى اتباع هذه التعليمات المقدمة من شركة Microsoft على الرابط: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
لعملاء تجربة Windows 10 على Windows Server 2016:
لقد طبقت AWS تحديثات أمنية على منصات WorkSpace العاملة على تجربة Windows 10 على Windows Server 2016. يحتوي نظام Windows 10 على برنامج مكافحة الفيروسات المدمج Windows Defender المتوافق مع هذه التحديثات الأمنية. لا يلزم اتخاذ أي إجراء آخر من جهة العملاء.
بالنسبة لـ BYOL والعملاء ذوي إعدادات التحديث الافتراضية المُعدَّلة:
تُرجى ملاحظة أنه ينبغي للعملاء الذين يستخدمون ميزة Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبقوا تحديثات الأمان التي توفرها Microsoft يدويًا. إذا كان هذا الأمر ينطبق عليك، فيُرجى اتباع التعليمات المقدمة من قسم استشارات الأمان من Microsoft على الرابط https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient بحيث توفر مزيدًا من المعلومات المحددة.
ستتوفّر حِزَم WorkSpaces المحدّثة مع تحديثات الأمان قريبًا. ينبغي للعملاء الذين قد قاموا بإنشاء حزم مخصصة تحديث حزمهم لتضمين التحديثات الأمنية بأنفسهم. أي منصة من منصات WorkSpace الجديدة الصادرة من الحزم التي ليس لها تحديثات سوف تتلقى التصحيحات قريبًا بعد الإصدار، ما لم يقم العملاء بتغيير إعداد التحديث الافتراضي في منصات WorkSpace الخاصة بهم أو تثبيت برنامج مكافحة فيروسات غير متوافق، حيث ينبغي لهم في هذه الحالة اتباع الخطوات المذكورة أعلاه لتطبيق التحديثات الأمنية المقدمة من Microsoft يدويًا.
WorkSpaces Application Manager (WAM)
نوصي العملاء باختيار أحد مسارات الإجراءات التالية:
الخيار 1: تطبيق تحديثات Microsoft يدويًا على المثيلات العاملة لأداة التعبئة والتحقق من الصحة WAM من خلال اتباع هذه الخطوات المقدمة من Microsoft على https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . تقدم هذه الصفحة المزيد من التعليمات والتنزيلات ذات الصلة.
الخيار 2: إنهاء مثيلات أداة التعبئة والتحقق من الصحة لديك. يمكنك تشغيل مثيلات جديدة باستخدام أدوات AMI المحدّثة "Amazon WAM Admin Studio 1.5.1" و"Amazon WAM Admin Player 1.5.1".