أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للاطلاع على أحدث إصدار، يُرجى زيارة: "بيان بالبحث المتعلق بالإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة".
بخصوص: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
تم التحديث بداية من: 2018/01/23 11:30 مساءً بالتوقيت القياسي لمنطقة المحيط الهادئ
هذا تحديث لهذه المشكلة.
يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. مثيلات EC2 التي تم إطلاقها بالتكوين الافتراضي Amazon Linux في 13 يناير 2018 أو بعد ذلك، ستتضمن تلقائيًا الحزمة المحدثة التي تضم أحدث التحسينات الأمنية المستقرة لنظام Linux مفتوح المصدر لمعالجة CVE-2017-5715 داخل النواة وتعتمد على Kernel Page Table Isolation (KPTI) المدمج سابقًا الذي يعالج CVE-2017-5754. يجب على العملاء الترقية إلى أحدث نواة لنظام Amazon Linux أو AMI للتخفيف بفعالية من المشكلات بين العمليات لدى CVE-2017-5715 والمشكلات بين العملية والنواة لدى CVE-2017-5754 ضمن المثيلات الموجودة لديهم. انظر "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة - تحديثات نظام التشغيل" للاطلاع على المزيد من المعلومات.
يُرجى الاطلاع أدناه على معلومات حول "دليل المثيلات شبه الافتراضية" فيما يتعلق بالمثيلات المعززة بالحوسبة شبه الافتراضية (PV).
Amazon EC2
تخضع جميع المثيلات على مستوى أسطول Amazon EC2 للحماية من جميع مشكلات المثيل إلى المثيل CVE-2017-5715 وCVE-2017-5753 وCVE-2017-5754 المعروفة. تفترض مشكلات المثيل إلى المثيل وجود مثيل مجاور غير موثوق به يستطيع قراءة ذاكرة مثيل آخر أو مراقب الأجهزة الافتراضية لدى AWS. تمت معالجة هذه المشكلة لمراقب الأجهزة الافتراضية لدى AWS، ولا يستطيع أي مثيل قراءة ذاكرة مثيل آخر أو قراءة ذاكرة مراقب الأجهزة الافتراضية لدى AWS. كما وضحنا سابقًا، لم نلحظ أي تأثير كبير على الأداء للأغلبية العظمى لأعباء عمل EC2.
لقد حددنا مجموعة صغيرة من الأعطال التي تطرأ على المثيلات والتطبيق والتي تتسبب فيها تحديثات الكود المُصغر لـ Intel، ونعمل على حلها مباشرة مع العملاء المتضررين. لقد أتممنا مؤخرًا تعطيل أجزاء الكود المصغر الجديد لوحدة معالجة مركزية من Intel للأنظمة الأساسية في AWS حيث لاحظنا وجود هذه المشكلات. وقد بدا أن هذا الأمر يخفف من وجود مشكلات في هذه المثيلات. ما تزال كافة المثيلات في نطاق مجموعة مستخدمي Amazon EC2 محمية من جميع ناقلات التهديد المعروفة. يوفر الكود المصغر لمعالجات Intel حماية إضافية ضد ناقلات التهديد النظرية من المشكلة CVE-2017-5715. نتوقع إعادة تنشيط طبقات الحماية الإضافية هذه (بالإضافة إلى بعض تحسينات الأداء التي نعمل عليها) في القريب العاجل بمجرد أن تقوم Intel بتوفير كود مصغر محدث.
إجراءات العملاء الموصى بها بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail
على الرغم من حماية جميع مثيلات العملاء كما هو موضح أعلاه، فإننا نوصي العملاء بتصحيح أنظمة التشغيل لدى مثيلاتهم لمعالجة المشكلات المرتبطة بالعملية إلى العملية أو العملية إلى النواة ضمن هذه المشكلة. يُرجى الاطلاع على "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة – تحديثات نظام التشغيل" للحصول على المزيد من الإرشادات والتعليمات بخصوص أنظمة Amazon Linux وAmazon Linux 2 وCentOS وDebian وFedora وMicrosoft Windows وRed Hat وSUSE وUbuntu.
دليل المثيلات شبه الافتراضية
بعد إجراء بحث مستمر وتحليل مفصل بخصوص تصحيحات نظام التشغيل المتوفرة لهذه المشكلة، فقد قررنا أن أساليب حماية نظام التشغيل غير كافية لمعالجة المشكلات التي تكون بين العملية والأخرى في نطاق مثيلات البيئة الافتراضية. بالرغم من أن مثيلات البيئة الافتراضية محمية بمراقب الأجهزة الافتراضية في AWS من أي مشكلات تكون بين مثيل وآخر على النحو الموضح أعلاه، فإن العملاء الذين لديهم مخاوف بشأن عزل العملية في نطاق مثيلات البيئة الافتراضية الخاصة بهم (مثل، معالجة بيانات غير موثوق بها، تشغيل رمز غير موثوق به، استضافة مستخدمين غير موثوق بهم)، يُشجعون بشدة على الترحيل إلى أنواع مثيل HVM للاستفادة من مزايا الأمان على المدى الطويل.
لمزيد من المعلومات بشأن أوجه الاختلاف بين البيئة الافتراضية وHVM (بالإضافة إلى وثائق مسار ترقية المثيلات)، يرجى الاطلاع على:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
يُرجى الاستعانة بـ الدعم إذا كنت بحاجة إلى مساعدة بخصوص مسار ترقية لأي من مثيلات البيئة الافتراضية.
تحديثات لخدمات AWS أخرى
تطلبت الخدمات التالية تصحيح مثيلات EC2 التي تُدار بالنيابة عن العملاء، وقد اكتمل العمل برمته، ولا حاجة لأي إجراء من جانب العميل:
- Fargate
- Lambda
لا تتطلب جميع خدمات AWS الأخرى أي إجراء من جانب العميل، ما لم يُذكر خلاف ذلك فيما يلي.
ECS Optimized AMI
لقد أطلقنا الإصدار 2017.09.e من ECS Optimized AMI وهو يتضمن جميع إجراءات الحماية الموجودة في Amazon Linux المتعلقة بهذه المشكلة. ننصح جميع عملاء Amazon ECS بالترقية إلى أحدث إصدار متوفر على AWS Marketplace.
ينبغي على العملاء الذين يختارون تحديث مثيلات ECS Optimized AMI المتاحة حاليًا تشغيل الأمر التالي لضمان تلقي الحزمة المُحدثة:
sudo yum update kernel
وفقًا للمعيار المعمول به عند أي تحديث لنواة نظام Linux، بعد إتمام تحديث yum، يلزم إعادة التشغيل حتى تعمل التحديثات.
يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل، أو برنامج، أو AMI بديل/خارجي بخصوص التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.
لقد أطلقنا الإصدار 2018.01.10 من Amazon ECS Optimized Windows AMI. للاطلاع على التفاصيل المتعلقة بكيفية تطبيق التصحيحات على المثيلات العاملة، انظر "الإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة – تحديثات نظام التشغيل".
Elastic Beanstalk
لقد حدّثنا جميع المنصات القائمة على نظام Linux وقمنا بتضمين أدوات حماية Amazon Linux لهذه المشكلة. انظر ملاحظات الإصدار للاطلاع على الإصدارات المحددة للمنصة. ننصح عملاء Elastic Beanstalk بتحديث بيئاتهم إلى أحدث إصدار متوفر من المنصة. ستُحدث البيئات التي تستخدم التحديثات المُدارة تلقائيًا أثناء فتح نافذة الصيانة المكونة.
كذلك تم تحديث المنصات التي تعمل بنظام Windows كي تتضمن جميع طبقات حماية EC2 Windows لهذه المشكلة. وننصح العملاء بتحديث بيئات Elastic Beanstalk المستندة إلى نظام Windows إلى أحدث تكوين متوفر من النظام الأساسي.
ElastiCache
كل عقدة من عقد ذاكرة التخزين المؤقتة لدى العميل يديرها مخزن ElastiCache تكون مخصصة فقط لتشغيل محرك ذاكرة التخزين المؤقتة الخاصة بعميل واحد فقط، مع عدم وجود عمليات أخرى لدى العميل يمكن الوصول إليها وعدم قدرة العملاء على تشغيل رمز على المثيل الأساسي. نظرًا لأن AWS قد أتمت حماية البنية التحتية الكامنة لخدمة ElastiCache بأكملها، فإن مشكلات العملية إلى النواة أو العملية إلى العملية لهذه المشكلة لا تشكل أي مخاطرة للعملاء. لم تُبلغ جهة الدعم لكلا محركي التخزين المؤقت لـ ElastiCache عن أي مشكلات معروفة متعلقة بالبنية التحتية حتى الآن.
EMR
تطلق Amazon EMR مجموعات مثيلات Amazon EC2 التي تشغل Amazon Linux نيابة عن العملاء في حساب العميل. وينبغي للعملاء المهتمين بعزل العمليات داخل مثيلات مجموعات Amazon EMR لديهم الترقية إلى أحدث نواة من Amazon Linux وفقًا للتوصيات السابقة. لقد قمنا بتضمين أحدث أنوية Amazon Linux في الإصدارات الصغرى الجديدة 5.11.1 و5.8.1 و5.5.1 و4.9.3. ويستطيع العملاء إنشاء مجموعات Amazon EMR جديدة باستخدام هذه الإصدارات.
بالنسبة لإصدارات Amazon EMR الحالية وأي مثيلات مرتبطة قد تكون مشغلة من جانب العميل، فإننا ننصح بالتحديث إلى أحدث نواة Amazon Linux وفقًا للتوصيات السابقة. بالنسبة للمجموعات الجديدة، يمكن للعملاء استخدام إجراء التمهيد لتحديث نواة Linux وإعادة تشغيل كل مثيل. بالنسبة للمجموعات قيد التشغيل، يمكن للعملاء تسهيل تحديث نواة Linux وإعادة التشغيل لكل مثيل في مجموعته بطريقة التناوب. يرجى العلم أن إعادة تشغيل عمليات معينة يمكن أن تؤثر في التطبيقات قيد التشغيل في المجموعة.
RDS
يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة بواسطة RDS فقط لتشغيل محرك قاعدة بيانات عميل واحد فقط، شريطة عدم وجود أي عمليات أخرى يمكن الوصول إليها لدى العميل وعدم تمكين العملاء من تشغيل أي تعليمة برمجية على المثيل الأساسي. بما أن AWS قد انتهت من حماية البنية الأساسية التي تقوم عليها RDS بالكامل، فلن تشكّل المخاوف المتعلقة بنقل البيانات من عملية إلى عملية أخرى أو من عملية إلى نواة والناتجة عن هذه المشكلة أي خطورة على العملاء. لم تواجه معظم برامج دعم محرّكات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. تتوفّر تفاصيل إضافية محددة للمحركات فيما يلي، ولا يلزم أن يتخذ العميل أي إجراء ما لم يُذكر خلاف ذلك.
بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
بالنسبة إلى RDS PostgreSQL وAurora PostgreSQL، لا يلزم أن يتخذ العملاء أي إجراء في مثيلات DB العاملة بالتكوين الافتراضي حاليًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
لا يلزم أن يتخذ العميل أي إجراء بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.
VMware Cloud on AWS
لكل VMware، تم تقديم "المعالجة كما هي موثقة في VMSA-2018-0002، في VMware Cloud on AWS منذ أوائل ديسمبر 2017".
يرجى الرجوع إلى مدونة الأمان والامتثال في VMware لمزيد من التفاصيل والاطلاع على الموقع https://status.vmware-services.io لمعرفة الحالة المحدثة.
WorkSpaces
لعملاء تجربة Windows 7 على Windows Server 2008 R2:
لقد أصدرت شركة Microsoft تحديثات أمنية جديدة لنظام Windows Server 2008 R2 من أجل هذه المشكلة. يتطلب التسليم الناجح لهذه التحديثات برنامج مكافحة فيروسات متوافقًا يعمل على الخادم على النحو المحدد في التحديث الأمني من خلال شركة Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. يحتاج عملاء WorkSpaces إلى اتخاذ إجراء للحصول على هذه التحديثات. يُرجى اتباع هذه التعليمات المقدمة من شركة Microsoft على الرابط: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
بالنسبة لعملاء تجربة Windows 10 على Windows Server 2016:
لقد طبقت AWS تحديثات أمنية على منصات WorkSpace العاملة على تجربة Windows 10 على Windows Server 2016. يحتوي نظام Windows 10 على برنامج مكافحة الفيروسات المدمج Windows Defender المتوافق مع هذه التحديثات الأمنية. لا يلزم اتخاذ أي إجراء آخر من جهة العملاء.
بالنسبة لـ BYOL والعملاء ذوي إعدادات التحديث الافتراضية المُعدَّلة:
تُرجى ملاحظة أنه ينبغي للعملاء الذين يستخدمون ميزة Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبقوا تحديثات الأمان التي توفرها Microsoft يدويًا. إذا كان هذا الأمر ينطبق عليك، فيُرجى اتباع التعليمات المقدمة من قسم استشارات الأمان من Microsoft على الرابط https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient بحيث توفر مزيدًا من المعلومات المحددة.
ستتوفّر حِزَم WorkSpaces المزوّدة بتحديثات الأمان قريبًا. ينبغي للعملاء الذين قد قاموا بإنشاء "حزم مخصصة" تحديث حزمهم لتضمين التحديثات الأمنية بأنفسهم. ستتلقى أي منصة من منصات WorkSpace الجديدة الصادرة من الحزم التي ليس لها تحديثات التصحيحاتِ قريبًا بعد الإصدار، ما لم يقم العملاء بتغيير إعداد التحديث الافتراضي في منصات WorkSpace الخاصة بهم أو تثبيت برنامج مكافحة فيروسات غير متوافق، حيث ينبغي لهم في هذه الحالة اتباع الخطوات المذكورة أعلاه لتطبيق التحديثات الأمنية المقدمة من Microsoft يدويًا.
Amazon WorkSpaces Application Manager (WAM)
نوصي العملاء باختيار أحد مسارات العمل التالية:
الخيار 1: تطبيق تحديثات Microsoft يدويًا على المثيلات العاملة لأداة التعبئة والتحقق من الصحة WAM من خلال اتباع هذه الخطوات المقدمة من Microsoft على https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . تقدم هذه الصفحة المزيد من التعليمات والتنزيلات ذات الصلة.
الخيار 2: إنهاء المثيلات الحالية الموجودة لديك لبرنامجي التعبئة والتحقق. أطلِق مثيلات جديدة باستخدام أدوات AMI المحدّثة لديناوالمسماة "Amazon WAM Admin Studio 1.5.1" و"Amazon WAM Admin Player 1.5.1".