أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للاطلاع على أحدث إصدار، يُرجى زيارة: "بيان بالبحث المتعلق بالإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة".

بخصوص: CVE-2017-5715، CVE-2017-5753، CVE-2017-5754

تم التحديث بداية من: 2018/01/07 الساعة 11:30 صباحًا بتوقيت المحيط الهادئ

هذا تحديث بشأن هذه المشكلة.

Amazon EC2

تتم حماية جميع المثيلات عبر مجموعة خدمات Amazon EC2 من جميع التهديدات المعروفة التي تتسبب بها المخاطر ونقاط الضعف الشائعة التي تم سردها مسبقًا. تتم حماية مثيلات العملاء من هذه التهديدات الواردة من المثيلات الأخرى. لم نلحظ أي تأثير له دلالة على الأداء للأغلبية العظمى من أعباء عمل EC2.

الإجراءات الموصى بها للعملاء بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail‏

رغم أن جميع مثيلات العملاء محمية بشكل تام، إلا أننا نوصي العملاء بتصحيح برامج أنظمة تشغيل المثيلات الخاصة بهم. سيساعد هذا الإجراء على تعزيز الحماية التي توفرها أنظمة التشغيل هذه لعزل البرامج التي تعمل داخل المثيل نفسه. لمزيدٍ من التفاصيل، يُرجى الرجوع إلى دليل البائع المحدد بشأن مدى توفُّر التصحيح والنشر.

دليل البائع المحدد:

بالنسبة لأنظمة التشغيل غير المدرَجة، ينبغي للعملاء الرجوع إلى بائع نظام التشغيل أو AMI الخاص بهم لطلب التحديثات والتعليمات.

تحديثات لخدمات AWS الأخرى

‏Amazon Linux AMI (معرف النشرة ‏ALAS-2018-939‏)

يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. سوف تتضمن مثيلات EC2، التي تم طرحها في تكوين Amazon Linux الافتراضي في تمام الساعة 10.45 مساءً (بتوقيت غرينتش) في 3 يناير 2018 أو بعد ذلك، الحزمة المُحدّثة تلقائيًا. ينبغي للعملاء الذين لديهم مثيلات Amazon Linux AMI حالية تشغيل الأمر التالي لضمان تلقيهم الحزمة المحدَّثة:

نواة تحديث sudo yum

بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.

يتوفر مزيد من المعلومات حول هذه النشرة في مركز أمان Amazon Linux AMI‏.

EC2 Windows

لقد حدّثنا وحدات AMI لنظام AWS Windows. هذه التحديثات متوفرة الآن لاستخدام العملاء، كما أن وحدات AMI في AWS Windows تتضمن تثبيت التصحيح اللازم وتمكين مفاتيح السجل.

لقد وفّرت شركة Microsoft تصحيحات Windows لأنظمة Server 2008R2 و2012R2 و2016. تتوفر التصحيحات من خلال خدمة تحديث Windows المدمجة في نظام Server 2016. وننتظر معلومات من Microsoft عن توفُّر التصحيح لأنظمة Server 2003 و2008SP2 و2012RTM.

ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع تفعيل "التحديثات التلقائية"، تشغيل التحديثات التلقائية من أجل تنزيل التحديثات الضرورية لنظام Windows وتثبيتها عند توفُّرها.

يُرجى العلم أن تصحيحات Server 2008R2 و2012R2 غير متوفّرة حاليًا من خلال تحديث Windows، وبالتالي تتطلب التنزيل يدويًا. لذا، تُخطر Microsoft بتوفُّر هذه التصحيحات في يوم الخميس الموافق 9 يناير.

ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع عدم تفعيل "التحديثات التلقائية"، تنزيل التحديثات اللازمة يدويًا عند توفُّرها باتباع التعليمات الواردة في هذا الرابط: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

يرجى العلم أنه بالنسبة لنظام Windows Server، فإن Microsoft تطلب خطوات إضافية لتمكين ميزات الحماية للتحديث الخاص بها لحل هذه المشكلة، وهذه الخطوات موضحة على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

ECS Optimized AMI

لقد أطلقنا الإصدار 2017.09.e من ECS Optimized AMI وهو يتضمن جميع إجراءات الحماية الموجودة في Amazon Linux المتعلقة بهذه المشكلة. ننصح جميع عملاء Amazon ECS بالترقية إلى هذا الإصدار الأخير المتوفر على AWS Marketplace. يجب على العملاء الذين يختارون تحديث المثيلات المحلية الحالية تشغيل الأمر التالي على كل مثيل يعمل كحاوية مهام:

نواة تحديث sudo yum

يتطلب إكمال التحديث إعادة تشغيل المثيل الذي يعمل كحاوية مهام

يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل أو برنامج أو AMI بديل/خارجي لمعرفة التحديثات والتعليمات حسب الحاجة. تتوفّر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI‏.

سيتم إطلاق إصدار محدّث من Microsoft Windows EC2 وECS Optimized AMI عند توفر حزم برامج Microsoft.

Elastic Beanstalk

سيتم قريبًا إصدار نسخ جديدة من المنصات تتضمن تحديث النواة اللازم لمعالجة هذه المشكلة خلال 48 ساعة. بالنسبة لبيئات Linux، نوصي بتفعيل "تحديثات المنصة المُدارة" حتى يتم التحديث التلقائي داخل نافذة الصيانة المحددة بمجرد توفر هذه التحديثات. سننشر التعليمات الخاصة ببيئات Windows بمجرد توفر التحديث.  

AWS Fargate

تم تصحيح جميع البنيات التحتية التي تقوم بتشغيل مهام Fargate كما هو موضح أعلاه ولا يلزم اتخاذ أي إجراء من جهة العملاء.

Amazon FreeRTOS

لا توجد أي تحديثات مطلوبة أو قابلة للتطبيق على Amazon FreeRTOS ومعالجات ARM المتوافقة معه.

AWS Lambda

تم تصحيح جميع المثيلات التي تقوم بتشغيل وظائف Lambda كما هو موضح أعلاه ولا يلزم اتخاذ أي إجراء من جهة العملاء.

RDS

يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة بواسطة RDS فقط لتشغيل محرك قاعدة بيانات عميل واحد فقط، شريطة عدم وجود أي عمليات أخرى يمكن الوصول إليها لدى العميل وعدم تمكين العملاء من تشغيل أي تعليمة برمجية على المثيل الأساسي. بما أن AWS قد انتهت من حماية البنية الأساسية التي تقوم عليها RDS بالكامل، فلن تشكّل المخاوف المتعلقة بنقل البيانات من عملية إلى عملية أخرى أو من عملية إلى نواة والناتجة عن هذه المشكلة أي خطورة على العملاء. لم تواجه معظم برامج دعم محرّكات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. يمكن الاطلاع على التفاصيل الإضافية الخاصة بالمحركات أدناه، ولا يلزم اتخاذ أي إجراء من جهة العميل ما لم يُذكر خلاف ذلك. سنقوم بتحديث هذه النشرة بمجرد إتاحة مزيد من المعلومات.

لا يلزم أن يتخذ العميل أي إجراء بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.

أما بالنسبة لمثيلات قواعد بيانات Aurora PostgreSQL وRDS PostgreSQL المشغّلة حاليًا في التكوين الافتراضي فليس على العميل اتخاذ أي إجراء أيضًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

VMware Cloud on AWS

لمزيد من التفاصيل، يُرجى الرجوع إلى استشارات الأمان من VMware من هنا: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

ستطبّق AWS تحديثات الأمان التي أصدرتها Microsoft على معظم تطبيقات AWS WorkSpaces خلال عطلة نهاية الأسبوع القادم. يجب على العملاء توقع إعادة تشغيل تطبيقات WorkSpaces لديهم في هذه الفترة.

وينبغي لعملاء Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبّقوا تحديثات الأمان التي توفرها Microsoft يدويًا.

يُرجى اتّباع التعليمات المقدّمة من قسم استشارات الأمان من Microsoft على الرابط التالي: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient لتوفير المزيد من المعلومات المحددة.

ستتوفّر حِزَم WorkSpaces المزوّدة بتحديثات الأمان قريبًا. يجب على العملاء الذين أنشئوا حزمًا مخصصة تحديث هذه الحزم بأنفسهم لتتضمن تحديثات الأمان. سيتلقى أي تطبيق جديد من تطبيقات WorkSpaces تم إطلاقه من حزم غير محدّثة تصحيحات حزم البرامج بمجرد إطلاقه ما لم يقم العملاء بتغيير إعداد التحديث الافتراضي في WorkSpaces لديهم. وإذا كانوا قد قاموا بتغييرها، فيجب عليهم اتباع الخطوات المذكورة أعلاه لتطبيق تحديثات الأمان المقدمة من Microsoft يدويًا.

WorkSpaces Application Manager (WAM)

نوصي العملاء باختيار أحد الإجراءين التاليين:

الخيار 1: تطبيق تصحيحات حزم البرامج المقدمة من Microsoft يدويًا على المثيلات المشغّلة لأداة إنشاء الحزم والتحقّق من الصحة في نظام الإدارة WAM باتباع هذه الخطوات المقدمة من Microsoft على الرابط https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. توفّر هذه الصفحة تعليمات وروابط تنزيل إضافية لنظام Windows Server.

الخيار 2: إعادة إنشاء مثيلات EC2 جديدة لأداة التعبئة والتحقّق WAM من وحدات AMI المحدّثة لأداة التعبئة والتحقّق WAM التي ستتم إتاحتها بحلول نهاية يوم (04/01/2018).