أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للاطلاع على أحدث إصدار، يُرجى زيارة: "بيان بالبحث المتعلق بالإجراءات التي ينفذها المعالج بعد افتراض نظريات مختلفة".
بخصوص: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
تم التحديث بداية من: 2018/01/09 19:10 بتوقيت المحيط الهادئ
هذا تحديث بشأن هذه المشكلة.
لقد تم توفير إصدار آخر من نواة Amazon Linux، وهذا الإصدار يعالج أخطاء KPTI ويحسّن عمليات الحد من التهديد CVE-2017-5754. يجب على العملاء الترقية إلى أحدث نواة لنظام Amazon Linux أو AMI للتخفيف من مشكلات العملية إلى العملية للتهديد CVE-2017-5754 بفعالية داخل المثيلات الخاصة بهم. انظر معلومات "Amazon Linux AMI" فيما يلي.
يُرجى النظر إلى معلومات "دليل المثيلات شبه الافتراضية" أدناه فيما يتعلق بالمثيلات شبه الافتراضية.
Amazon EC2
تعد جميع المثيلات على نطاق أسطول Amazon EC2 محمية من جميع مشكلات المثيل إلى المثيل المعروفة التي تتضمنها قوائم CVE المذكورة سابقًا. تفترض مشكلات المثيل إلى المثيل وجود مثيل مجاور غير موثوق به يستطيع قراءة ذاكرة مثيل آخر أو مراقب الأجهزة الافتراضية AWS. وقد تمت معالجة المشكلة بالنسبة لمراقب الأجهزة الافتراضية AWS، ولا يستطيع أي مثيل قراءة ذاكرة مثيل آخر، ولا يستطيع أي مثيل قراءة ذاكرة مراقب الأجهزة الافتراضية AWS. لم نلحظ أي تأثير له دلالة على الأداء للأغلبية العظمى من أعباء عمل EC2.
الإجراءات التي يُنصح بها العملاء بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail
بالرغم من أنه يتم حماية جميع مثيلات العملاء كما هو موضح فيما سبق، إلا أننا ننصح هؤلاء العملاء بتصحيح أنظمة التشغيل للمثيلات الخاصة بهم لعزل البرنامج الذي يعمل في نطاق نفس المثيل وبتقليل مشكلات العملية إلى العملية للتهديد CVE-2017-5754. لمزيدٍ من التفاصيل، يُرجى الرجوع إلى دليل البائع المحدد بشأن مدى توفُّر التصحيح والتوزيع.
دليل البائع المحدد:
- Amazon Linux – يمكن الاطلاع على مزيد من التفاصيل أدناه.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
بالنسبة لأنظمة التشغيل غير المدرَجة، ينبغي للعملاء الرجوع إلى بائع نظام التشغيل أو AMI الخاص بهم لطلب التحديثات والتعليمات.
دليل مثيلات شبه الافتراضية
بعد إجراء بحث مستمر وتحليل مفصل بخصوص تصحيحات نظام التشغيل المتوفرة لهذه المشكلة، فقد قررنا أن أساليب حماية نظام التشغيل غير كافية لمعالجة المشكلات التي تكون بين العملية والأخرى في نطاق مثيلات البيئة شبه الافتراضية. بالرغم من أن مثيلات البيئة الافتراضية محمية بمراقب الأجهزة الافتراضية في AWS من أي مشكلات تكون بين مثيل وآخر على النحو الموضح أعلاه، فإن العملاء الذين لديهم مخاوف بشأن عزل العملية في نطاق مثيلات البيئة الافتراضية الخاصة بهم (مثل، معالجة بيانات غير موثوق بها، تشغيل رمز غير موثوق به، استضافة مستخدمين غير موثوق بهم)، يُشجعون بشدة على الترحيل إلى أنواع مثيل HVM للاستفادة من مزايا الأمان على المدى الطويل.
لمزيد من المعلومات بشأن أوجه الاختلاف بين البيئة الافتراضية وHVM (بالإضافة إلى وثائق مسار ترقية المثيلات)، يرجى الاطلاع على:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
يُرجى الاستعانة بـ الدعم إذا كنت بحاجة إلى مساعدة بخصوص مسار ترقية لأي من مثيلات البيئة شبه الافتراضية.
تحديثات لخدمات AWS الأخرى
تطلبت الخدمات التالية تصحيح لمثيلات EC2 التي تُدار بالنيابة عن العملاء، وقد اكتمل العمل برمته، ولا حاجة لأي إجراء من جانب العميل:
- Fargate
- Lambda
لا تتطلب جميع خدمات AWS الأخرى أي إجراء من جانب العميل، ما لم يُذكر خلاف ذلك فيما يلي.
Amazon Linux AMI (معرّف النشرة: ALAS-2018-939)
يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. ومثيلات EC2 التي تم إطلاقها بتكوين Amazon Linux الافتراضي قبل الثامن (8) من يناير 2018 أو بعده، ستتضمن تلقائيًا الحزمة المحدثة التي تعالج أخطاء KPTI وتحسن عمليات الحد للإصدار CVE-2017-5754.
ملاحظة: يجب على العملاء الترقية إلى أحدث نواة من Amazon Linux أو AMI للتخفيف من CVE-2017-5754 بفعالية داخل المثيلات الخاصة بهم. سنستمر في توفير تحسينات على نظام Amazon Linux وتحديث وحدات AMI لنظام Amazon Linux؛ وذلك عن طريق إدماج مساهمات مجتمع Linux مفتوحة المصدر والتي تعالج هذه المشكلة فور توفرها.
ينبغي للعملاء الذين لديهم مثيلات Amazon Linux AMI حالية تشغيل الأمر التالي لضمان تلقيهم الحزمة المحدَّثة:
نواة تحديث sudo yum
لأن هذا هو المعيار لأي تحديث لنواة Linux، فإنه بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.
يتوفر مزيد من المعلومات حول هذه النشرة في مركز أمان Amazon Linux AMI.
وبشأن Amazon Linux 2، يرجى اتباع التعليمات الخاصة بنظام Amazon Linux المذكورة فيما سبق.
EC2 Windows
لقد حدّثنا وحدات AMI لنظام AWS Windows. هذه التحديثات متوفرة الآن لاستخدام العملاء، كما أن وحدات AMI في AWS Windows تتضمن تثبيت التصحيح اللازم وتمكين مفاتيح السجل.
لقد وفرت شركة Microsoft تصحيحات Windows لأنظمة Server 2008R2 و2012R2 و2016. تتوفر التصحيحات من خلال خدمة تحديث Windows المدمجة في نظام Server 2016. وننتظر معلومات من Microsoft عن توفُّر التصحيح لأنظمة Server 2003 و2008SP2 و2012RTM.
ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع تفعيل "التحديثات التلقائية"، تشغيل التحديثات التلقائية من أجل تنزيل التحديثات الضرورية لنظام Windows وتثبيتها عند توفُّرها.
يُرجى العلم أن تصحيحات Server 2008R2 و2012R2 غير متوفرة حاليًا من خلال تحديث Windows، وبالتالي تتطلب التنزيل يدويًا. سبق أن أشارت Microsoft إلى أن هذه التصحيحات ستتوفر في يوم الثلاثاء الموافق 9 يناير، ولكننا لا نزال ننتظر معلومات بشأن توفرها.
ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع عدم تفعيل "التحديثات التلقائية"، تنزيل التحديثات اللازمة يدويًا عند توفُّرها باتباع التعليمات الواردة في هذا الرابط: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
يرجى العلم أنه بالنسبة لنظام Windows Server، فإن Microsoft تطلب خطوات إضافية لتمكين ميزات الحماية للتحديث الخاص بها لحل هذه المشكلة، وهذه الخطوات موضحة على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS Optimized AMI
لقد أطلقنا نظام Amazon ECS Optimized AMI الإصدار 2017.09.f الذي يدمج جميع طبقات حماية Amazon Linux الخاصة بهذه المشكلة، بما في ذلك التحديث الثاني لنواة النظام Amazon Linux المذكور سابقًا. وننصح جميع عملاء Amazon ECS بالترقية إلى أحدث إصدار متوفر على AWS Marketplace. سنستمر في إدماج تحسينات Amazon Linux فور توفُّرها.
ينبغي للعملاء، الذين يختارون تحديث مثيلات ECS Optimized AMI المتاحة حاليًا، تشغيل الأمر التالي لضمان تلقي الحزمة المحدثة:
نواة تحديث sudo yum
لأن هذا هو المعيار لأي تحديث لنواة Linux، فإنه بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.
يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل، أو برنامج، أو AMI بديل/خارجي بخصوص التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.
نجري تحديثات لنظام Amazon ECS-optimized Windows AMI، وسنحدّث النشرة عند توفرها. لقد وفرت شركة Microsoft تصحيحات Windows لنظام Server 2016. لمعرفة التفاصيل حول تطبيق التصحيحات وتشغيل المثيلات، يُرجى زيارة الموقع https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
لقد حدّثنا جميع المنصات التي تعتمد على نظام Linux حتى تتضمن كافة أساليب الحماية الأصلية في Amazon Linux بخصوص هذه المشكلة. راجع ملاحظات الإصدار للحصول على إصدارات محددة للمنصة. يتم تشجيع العملاء على تحديث بيئاتهم. ستُحدث البيئات التي تستخدم التحديثات المُدارة تلقائيًا أثناء فتح نافذة الصيانة المكونة.
نعمل حاليًا على دمج التحديث الثاني لنواة Amazon Linux المذكور أعلاه. وسنحدِّث هذه النشرة عند توفُّر إصدارات جديدة من المنصة.
يواصل فريق Elastic Beanstalk العمل على تحديثات منصة Windows. وفي هذه الأثناء، فإننا نشجع عملاء Elastic Beanstalk، الذين يستخدمون المنصات التي تعتمد على نظام Windows، على التثبيت اليدوي لتحديثات الأمان المتوفرة باستخدام الإرشادات الواردة في قسم "EC2 Windows" من هذه النشرة المذكور أعلاه.
RDS
يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة عن طريق RDS لتشغيل محرك قاعدة بيانات لعميل واحد فقط، مع عدم وجود عمليات أخرى مرتبطة بالعميل وعدم قدرة العملاء على تشغيل رمز برمجي على المثيل الأساسي. نظرًا لأن AWS قد أتمت حماية البنية التحتية بأكملها التي تقوم عليها RDS، فإن المخاوف المتعلقة بالعملية إلى النواة أو العملية إلى العملية لهذه المشكلة لا تشكّل أي خطر على العملاء. لم تواجه معظم وسائل دعم محرّكات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. تتوفّر تفاصيل إضافية محددة للمحركات فيما يلي، ولا يلزم أن يتخذ العميل أي إجراء ما لم يُذكر خلاف ذلك. سنقوم بتحديث هذه النشرة بمجرد إتاحة مزيد من المعلومات.
بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
بالنسبة إلى RDS PostgreSQL وAurora PostgreSQL، لا يلزم أن يتخذ العملاء أي إجراء في مثيلات DB العاملة بالتكوين الافتراضي حاليًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
لا يلزم أن يتخذ العميل أي إجراء بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.
VMware Cloud on AWS
لكل VMware، تم تقديم "المعالجة كما هي موثقة في VMSA-2018-0002، في VMware Cloud on AWS منذ أوائل ديسمبر 2017".
يرجى الرجوع إلى مدونة الأمان والامتثال في VMware لمزيد من التفاصيل والاطلاع على الموقع https://status.vmware-services.io لمعرفة الحالة المحدثة.
WorkSpaces
ستطبّق AWS تحديثات الأمان التي أصدرتها Microsoft على معظم تطبيقات AWS WorkSpaces في عطلة نهاية الأسبوع القادمة. وحري بالعملاء أن يتوقعوا إعادة تشغيل تطبيقات WorkSpaces لديهم في تلك الفترة.
وينبغي لعملاء Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبّقوا تحديثات الأمان التي توفرها Microsoft يدويًا.
يُرجى اتّباع التعليمات المقدّمة من قسم استشارات الأمان من Microsoft على الرابط التالي: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient لتوفير المزيد من المعلومات المحددة.
ستتوفّر حِزَم WorkSpaces المحدّثة مع تحديثات الأمان قريبًا. ينبغي للعملاء، الذين أنشأوا باقات مخصّصة، تحديث باقاتهم لتتضمّن تحديثات الأمان ذاتها. إن أي WorkSpaces جديدة يتم إطلاقها من حِزَم التحديثات ستتلقى تصحيحات بعد إطلاقها بوقت قصير ما لم يغير العملاء إعداد التحديث الافتراضي في WorkSpaces لديهم، وفي هذه الحالة ينبغي لهم اتّباع الخطوات المذكورة أعلاه لتطبيق تحديثات الأمان المقدّمة من Microsoft بشكل يدوي.
WorkSpaces Application Manager (WAM)
نوصي العملاء باختيار أحد الإجراءين التاليَين:
الخيار 1: تطبيق تصحيحات Microsoft يدويًا على المثيلات العاملة لأداة التعبئة والتحقّق من الصحة WAM من خلال اتّباع هذه الخطوات المقدّمة من Microsoft على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . توفّر هذه الصفحة تعليمات وروابط تنزيل إضافية لنظام Windows Server.
الخيار 2: إعادة إنشاء مثيلات EC2 جديدة لأداة التعبئة والتحقّق WAM من وحدات AMI المحدّثة لأداة التعبئة والتحقّق WAM التي ستتم إتاحتها بحلول نهاية يوم (04/01/2018).