أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للاطلاع على أحدث إصدار، يُرجى زيارة: "عملية الكشف عن البحث حول التنفيذ الذي يمكن تخمينه للمعالج".

بخصوص: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

تم التحديث بداية من: 2018/01/08 14:25 بتوقيت المحيط الهادئ

هذا تحديث بشأن هذه المشكلة.

Amazon EC2

تتم حماية جميع المثيلات عبر مجموعة خدمات Amazon EC2 من جميع التهديدات المعروفة التي تتسبب بها المخاطر ونقاط الضعف الشائعة التي تم سردها مسبقًا. تتم حماية مثيلات العملاء من هذه التهديدات الواردة من المثيلات الأخرى. لم نلحظ أي تأثير له دلالة على الأداء للأغلبية العظمى من أعباء عمل EC2.

إجراءات العملاء الموصى بها بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail

رغم أن جميع مثيلات العملاء محمية بشكل تام، إلا أننا نوصي العملاء بتصحيح برامج أنظمة تشغيل المثيلات الخاصة بهم. سيساعد هذا الإجراء على تعزيز الحماية التي توفرها أنظمة التشغيل هذه لعزل البرامج التي تعمل داخل المثيل نفسه. لمزيدٍ من التفاصيل، يُرجى الرجوع إلى دليل البائع المحدد بشأن مدى توفُّر التصحيح والنشر.

دليل البائع المحدد:

بالنسبة لأنظمة التشغيل غير المدرَجة، ينبغي للعملاء الرجوع إلى بائع نظام التشغيل أو AMI الخاص بهم لطلب التحديثات والتعليمات.

تحديثات خدمات AWS الأخرى

Amazon Linux AMI (معرّف النشرة: ALAS-2018-939)

يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. ستتضمّن مثيلات EC2 التي تم إطلاقها مع تكوين Amazon Linux الافتراضي في تمام الساعة 10:45 مساءً (بتوقيت غرينتش) يوم الثالث من يناير عام 2018 أو بعد ذلك الحزمة المُحدَّثة تلقائيًا. ينبغي للعملاء الذين لديهم مثيلات Amazon Linux AMI حالية تشغيل الأمر التالي لضمان تلقيهم الحزمة المحدَّثة:

نواة تحديث sudo yum

بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.

يتوفر مزيد من المعلومات حول هذه النشرة في مركز أمان Amazon Linux AMI.

EC2 Windows

لقد حدّثنا وحدات AMI لنظام AWS Windows. هذه التحديثات متوفرة الآن لاستخدام العملاء، كما أن وحدات AMI في AWS Windows تتضمن تثبيت التصحيح اللازم وتمكين مفاتيح السجل.

لقد وفرت شركة Microsoft تصحيحات Windows لأنظمة Server 2008R2 و2012R2 و2016. تتوفر التصحيحات من خلال خدمة تحديث Windows المدمجة في نظام Server 2016. وننتظر معلومات من Microsoft عن توفُّر التصحيح لأنظمة Server 2003 و2008SP2 و2012RTM.

ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع تفعيل "التحديثات التلقائية"، تشغيل التحديثات التلقائية من أجل تنزيل التحديثات الضرورية لنظام Windows وتثبيتها عند توفُّرها.

يُرجى العلم أن تصحيحات Server 2008R2 و2012R2 غير متوفّرة حاليًا من خلال تحديث Windows، وبالتالي تتطلب التنزيل يدويًا. لذا، تُخطر Microsoft بتوفُّر هذه التصحيحات في يوم الخميس الموافق 9 يناير.

ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع عدم تفعيل "التحديثات التلقائية"، تنزيل التحديثات اللازمة يدويًا عند توفُّرها باتباع التعليمات الواردة في هذا الرابط: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

يرجى العلم أنه بالنسبة لنظام Windows Server، فإن Microsoft تطلب خطوات إضافية لتمكين ميزات الحماية للتحديث الخاص بها لحل هذه المشكلة، وهذه الخطوات موضحة على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

ECS Optimized AMI

لقد أطلقنا الإصدار 2017.09.e من ECS Optimized AMI وهو يتضمن جميع إجراءات الحماية الموجودة في Amazon Linux المتعلقة بهذه المشكلة. ننصح جميع عملاء Amazon ECS بالترقية إلى هذا الإصدار الأخير المتوفر على AWS Marketplace. يجب على العملاء الذين يختارون تحديث المثيلات المحلية الحالية تشغيل الأمر التالي على كل مثيل يعمل كحاوية مهام:

نواة تحديث sudo yum

يتطلب إكمال التحديث إعادة تشغيل المثيل الذي يعمل كحاوية مهام

يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل أو برنامج أو AMI بديل/خارجي لمعرفة التحديثات والتعليمات حسب الحاجة. تتوفّر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.

سيتم إطلاق إصدار محدّث من Microsoft Windows EC2 وECS Optimized AMI عند توفر حزم برامج Microsoft.

Elastic Beanstalk

لقد حدّثنا جميع المنصات التي تعتمد على نظام Linux حتى تتضمن كافة أساليب الحماية الأصلية في Amazon Linux بخصوص هذه المشكلة. راجع ملاحظات الإصدار للحصول على إصدارات محددة للمنصة. يتم تشجيع العملاء على تحديث بيئاتهم. ستُحدث البيئات التي تستخدم التحديثات المُدارة تلقائيًا أثناء فتح نافذة الصيانة المكونة.

يواصل فريق Elastic Beanstalk العمل على تحديثات منصة Windows. نشجع عملاء Elastic Beanstalk، الذين يستخدمون المنصات التي تعتمد على نظام Windows، على التثبيت اليدوي لتحديثات الأمان المتوفرة باستخدام الإرشادات الواردة في قسم "EC2 Windows" من هذه النشرة المذكور أعلاه.

AWS Fargate

تم تصحيح جميع البنيات التحتية التي تقوم بتشغيل مهام Fargate كما هو موضح أعلاه ولا يلزم اتخاذ أي إجراء من جهة العملاء.

Amazon FreeRTOS

لا توجد أي تحديثات مطلوبة أو قابلة للتطبيق على Amazon FreeRTOS ومعالجات ARM المتوافقة معه.

AWS Lambda

تم تصحيح جميع المثيلات التي تقوم بتشغيل وظائف Lambda كما هو موضح أعلاه ولا يلزم اتخاذ أي إجراء من جهة العملاء.

RDS

يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة بواسطة RDS فقط لتشغيل محرك قاعدة بيانات عميل واحد فقط، شريطة عدم وجود أي عمليات أخرى يمكن الوصول إليها لدى العميل وعدم تمكين العملاء من تشغيل أي تعليمة برمجية على المثيل الأساسي. بما أن AWS قد انتهت من حماية البنية الأساسية التي تقوم عليها RDS بالكامل، فلن تشكّل المخاوف المتعلقة بنقل البيانات من عملية إلى عملية أخرى أو من عملية إلى نواة والناتجة عن هذه المشكلة أي خطورة على العملاء. لم تواجه معظم برامج دعم محرّكات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. يمكن الاطلاع على التفاصيل الإضافية الخاصة بالمحركات أدناه، ولا يلزم اتخاذ أي إجراء من جهة العميل ما لم يُذكر خلاف ذلك. سنقوم بتحديث هذه النشرة بمجرد إتاحة مزيد من المعلومات.

لا يلزم أن يتخذ العميل أي إجراء بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.

أما بالنسبة لمثيلات قواعد بيانات Aurora PostgreSQL وRDS PostgreSQL المشغّلة حاليًا في التكوين الافتراضي فليس على العميل اتخاذ أي إجراء أيضًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

VMware Cloud on AWS

لمزيد من التفاصيل، يُرجى الرجوع إلى استشارة VMware الأمنية الواردة هنا: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

ستطبّق AWS تحديثات الأمان التي أصدرتها Microsoft على معظم تطبيقات AWS WorkSpaces في عطلة نهاية الأسبوع القادمة. وحري بالعملاء أن يتوقعوا إعادة تشغيل تطبيقات WorkSpaces لديهم في تلك الفترة.

وينبغي لعملاء Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبّقوا تحديثات الأمان التي توفرها Microsoft يدويًا.

يُرجى اتّباع التعليمات المقدّمة من قسم استشارات الأمان من Microsoft على الرابط التالي: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient لتوفير المزيد من المعلومات المحددة.

ستتوفّر حِزَم WorkSpaces المحدّثة مع تحديثات الأمان قريبًا. ينبغي للعملاء، الذين أنشأوا باقات مخصّصة، تحديث باقاتهم لتتضمّن تحديثات الأمان ذاتها. إن أي WorkSpaces جديدة يتم إطلاقها من حِزَم التحديثات ستتلقى تصحيحات بعد إطلاقها بوقت قصير ما لم يغير العملاء إعداد التحديث الافتراضي في WorkSpaces لديهم، وفي هذه الحالة ينبغي لهم اتّباع الخطوات المذكورة أعلاه لتطبيق تحديثات الأمان المقدّمة من Microsoft بشكل يدوي.

WorkSpaces Application Manager (WAM)

نوصي العملاء باختيار أحد الإجراءين التاليَين:

الخيار 1: تطبيق تصحيحات Microsoft يدويًا على المثيلات العاملة لأداة التعبئة والتحقّق من الصحة WAM من خلال اتّباع هذه الخطوات المقدّمة من Microsoft على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . توفّر هذه الصفحة تعليمات وروابط تنزيل إضافية لنظام Windows Server.

الخيار 2: إعادة إنشاء مثيلات EC2 جديدة لأداة التعبئة والتحقّق WAM من وحدات AMI المحدّثة لأداة التعبئة والتحقّق WAM التي ستتم إتاحتها بحلول نهاية يوم (04/01/2018).