أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للإطلاع على أحدث إصدار، يُرجى زيارة: "بيان بالبحث المتعلق بالإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة".
بخصوص: CVE-2017-5715، CVE-2017-5753، CVE-2017-5754
تم التحديث بداية من: 05/01/2018، الساعة 9:00 مساءً بتوقيت المحيط الهادئ
هذا تحديث بشأن هذه المشكلة.
Amazon EC2
تتم حماية جميع المثيلات عبر مجموعة خدمات Amazon EC2 من جميع التهديدات المعروفة التي تتسبب بها المخاطر ونقاط الضعف الشائعة التي تم سردها مسبقًا. تتم حماية مثيلات العملاء من هذه التهديدات الواردة من المثيلات الأخرى. لم نلحظ أي تأثير له دلالة على الأداء للأغلبية العظمى من أعباء عمل EC2.
الإجراءات الموصى بها للعملاء بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail
رغم أن جميع مثيلات العملاء محمية بشكل تام، إلا أننا نوصي العملاء بتصحيح برامج أنظمة تشغيل المثيلات الخاصة بهم. سيساعد هذا الإجراء على تعزيز الحماية التي توفرها أنظمة التشغيل هذه لعزل البرامج التي تعمل داخل المثيل نفسه. لمزيدٍ من التفاصيل، يُرجى الرجوع إلى دليل البائع المحدد بشأن مدى توفُّر التصحيح والنشر.
دليل البائع المحدد:
- Amazon Linux – يمكن الاطلاع على مزيد من التفاصيل أدناه.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
بالنسبة لأنظمة التشغيل غير المدرَجة، ينبغي للعملاء الرجوع إلى بائع نظام التشغيل أو AMI الخاص بهم لطلب التحديثات والتعليمات.
تحديثات لخدمات AWS الأخرى
Amazon Linux AMI (معرف النشرة: ALAS-2018-939)
يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. سوف تتضمن مثيلات EC2، التي تم طرحها في تكوين Amazon Linux الافتراضي في تمام الساعة 10.45 مساءً (بتوقيت غرينتش) في 3 يناير 2018 أو بعد ذلك، الحزمة المُحدّثة تلقائيًا. ينبغي للعملاء الذين لديهم مثيلات Amazon Linux AMI حالية تشغيل الأمر التالي لضمان تلقيهم الحزمة المحدَّثة:
نواة تحديث sudo yum
بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.
يتوفر مزيد من المعلومات حول هذه النشرة في مركز أمان Amazon Linux AMI.
EC2 Windows
نجري الآن تحديثات لنظام Windows Server AMI الافتراضي وسنحدّث هذه النشرة بمجرد توفرها.
ECS Optimized AMI
لقد أطلقنا الإصدار 2017.09.e من ECS Optimized AMI وهو يتضمن جميع إجراءات الحماية الموجودة في Amazon Linux المتعلقة بهذه المشكلة. ننصح جميع عملاء Amazon ECS بالترقية إلى هذا الإصدار الأخير المتوفر على AWS Marketplace. يجب على العملاء الذين يختارون تحديث المثيلات المحلية الحالية تشغيل الأمر التالي على كل مثيل يعمل كحاوية مهام:
نواة تحديث sudo yum
يتطلب إكمال التحديث إعادة تشغيل المثيل الذي يعمل كحاوية مهام
يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل أو برنامج أو AMI بديل/خارجي لمعرفة التحديثات والتعليمات حسب الحاجة. تتوفّر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.
سيتم إطلاق إصدار محدّث من Microsoft Windows EC2 وECS Optimized AMI عند توفر حزم برامج Microsoft.
Elastic Beanstalk
سيتم قريبًا إصدار نسخ جديدة من المنصات تتضمن تحديث النواة اللازم لمعالجة هذه المشكلة خلال 48 ساعة. بالنسبة لبيئات Linux، نوصي بتفعيل "تحديثات المنصة المُدارة" حتى يتم التحديث التلقائي داخل نافذة الصيانة المحددة بمجرد توفر هذه التحديثات. سننشر التعليمات الخاصة ببيئات Windows بمجرد توفر التحديث.
AWS Fargate
تم تصحيح جميع البنيات التحتية التي تقوم بتشغيل مهام Fargate كما هو موضح أعلاه ولا يلزم اتخاذ أي إجراء من جهة العملاء.
Amazon FreeRTOS
لا توجد أي تحديثات مطلوبة أو قابلة للتطبيق على Amazon FreeRTOS ومعالجات ARM المتوافقة معه.
AWS Lambda
تم تصحيح جميع المثيلات التي تقوم بتشغيل وظائف Lambda كما هو موضح أعلاه ولا يلزم اتخاذ أي إجراء من جهة العملاء.
RDS
يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة بواسطة RDS فقط لتشغيل محرك قاعدة بيانات عميل واحد فقط، شريطة عدم وجود أي عمليات أخرى يمكن الوصول إليها لدى العميل وعدم تمكين العملاء من تشغيل أي تعليمة برمجية على المثيل الأساسي. بما أن AWS قد انتهت من حماية البنية التحتية التي تقوم عليها RDS بالكامل، فلن تشكّل المخاوف المتعلقة بنقل البيانات من عملية إلى عملية أخرى أو من عملية إلى نواة والناتجة عن هذه المشكلة أي خطورة على العملاء. لم تواجه معظم برامج دعم محرّكات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. يمكن الاطلاع على التفاصيل الإضافية الخاصة بالمحركات أدناه، ولا يلزم اتخاذ أي إجراء من جهة العميل ما لم يُذكر خلاف ذلك. سنقوم بتحديث هذه النشرة بمجرد إتاحة مزيد من المعلومات.
لا يلزم أن يتخذ العميل أي إجراء بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.
أما بالنسبة لمثيلات قواعد بيانات Aurora PostgreSQL وRDS PostgreSQL المشغّلة حاليًا في التكوين الافتراضي فليس على العميل اتخاذ أي إجراء أيضًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من خلال الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
لمزيد من التفاصيل، يُرجى الرجوع إلى استشارات الأمان من VMware من هنا: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
ستطبّق AWS تحديثات الأمان التي أصدرتها Microsoft على معظم تطبيقات AWS WorkSpaces خلال عطلة نهاية الأسبوع القادم. يجب على العملاء توقع إعادة تشغيل تطبيقات WorkSpaces لديهم في هذه الفترة.
وينبغي لعملاء Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبّقوا تحديثات الأمان التي توفرها Microsoft يدويًا.
يُرجى اتّباع التعليمات المقدّمة من قسم استشارات الأمان من Microsoft على الرابط التالي: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient لتوفير المزيد من المعلومات المحددة.
ستتوفّر حِزَم WorkSpaces المزوّدة بتحديثات الأمان قريبًا. يجب على العملاء الذين أنشئوا حزمًا مخصصة تحديث هذه الحزم بأنفسهم لتتضمن تحديثات الأمان. سيتلقى أي تطبيق جديد من تطبيقات WorkSpaces تم إطلاقه من حزم غير محدّثة تصحيحات حزم البرامج بمجرد إطلاقه ما لم يقم العملاء بتغيير إعداد التحديث الافتراضي في WorkSpaces لديهم. وإذا كانوا قد قاموا بتغييرها، فيجب عليهم اتباع الخطوات المذكورة أعلاه لتطبيق تحديثات الأمان المقدمة من Microsoft يدويًا.
WorkSpaces Application Manager (WAM)
نوصي العملاء باختيار أحد الإجراءين التاليين:
الخيار 1: تطبيق تصحيحات حزم البرامج المقدمة من Microsoft يدويًا على المثيلات المشغّلة لأداة إنشاء الحزم والتحقّق من الصحة في نظام الإدارة WAM باتباع هذه الخطوات المقدمة من Microsoft على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. توفّر هذه الصفحة تعليمات وروابط تنزيل إضافية لنظام Windows Server.
الخيار 2: إعادة إنشاء مثيلات EC2 جديدة لأداة التعبئة والتحقّق WAM من وحدات AMI المحدّثة لأداة التعبئة والتحقّق WAM التي ستتم إتاحتها بحلول نهاية يوم (04/01/2018).