يتم عرض إصدار سابق من نشرة الأمان هذه. للاطلاع على أحدث إصدار، يُرجى زيارة: "عملية الكشف عن البحث حول التنفيذ الذي يمكن تخمينه للمعالج".
بخصوص: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
تم التحديث بداية من: 2018/01/11 11:30 بتوقيت المحيط الهادئ
هذا تحديث بشأن هذه المشكلة.
لقد تم توفير إصدار آخر من نواة Amazon Linux، وهذا الإصدار يعالج أخطاء KPTI ويحسّن عمليات الحد من التهديد CVE-2017-5754. يجب على العملاء الترقية إلى أحدث نواة لنظام Amazon Linux أو AMI للتخفيف من مشكلات العملية إلى العملية للتهديد CVE-2017-5754 بفعالية داخل المثيلات الخاصة بهم. انظر معلومات "Amazon Linux AMI" فيما يلي.
يُرجى النظر إلى معلومات "دليل مثيلات PV" أدناه فيما يتعلق بمثيلات para-virtualized (PV).
Amazon EC2
تعد جميع المثيلات على نطاق أسطول Amazon EC2 محمية من جميع مشكلات المثيل إلى المثيل المعروفة التي تتضمنها قوائم CVE المذكورة سابقًا. تفترض مشكلات المثيل إلى المثيل وجود مثيل مجاور غير موثوق به يستطيع قراءة ذاكرة مثيل آخر أو مراقب الأجهزة الافتراضية AWS. وقد تمت معالجة المشكلة بالنسبة لمراقب الأجهزة الافتراضية AWS، ولا يستطيع أي مثيل قراءة ذاكرة مثيل آخر، ولا يستطيع أي مثيل قراءة ذاكرة مراقب الأجهزة الافتراضية AWS. لم نلحظ أي تأثير له دلالة على الأداء للأغلبية العظمى من أعباء عمل EC2.
الإجراءات التي يُنصح بها العملاء بشأن AWS Batch وAmazon EC2 وAmazon Elastic Beanstalk وAmazon Elastic Container Service وAmazon Elastic MapReduce وAmazon Lightsail
بالرغم من أنه يتم حماية جميع مثيلات العملاء كما هو موضح فيما سبق، إلا أننا ننصح هؤلاء العملاء بتصحيح أنظمة التشغيل للمثيلات الخاصة بهم لعزل البرنامج الذي يعمل في نطاق نفس المثيل وبتقليل مشكلات العملية إلى العملية للتهديد CVE-2017-5754. لمزيدٍ من التفاصيل، يُرجى الرجوع إلى دليل البائع المحدد بشأن مدى توفُّر التصحيح والنشر.
دليل البائع المحدد:
- Amazon Linux – يمكن الاطلاع على مزيد من التفاصيل أدناه.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
بالنسبة لأنظمة التشغيل غير المدرَجة، ينبغي للعملاء الرجوع إلى بائع نظام التشغيل أو AMI الخاص بهم لطلب التحديثات والتعليمات.
دليل مثيلات PV
بعد إجراء بحث مستمر وتحليل مفصل بخصوص تصحيحات نظام التشغيل المتوفرة لهذه المشكلة، فقد قررنا أن أساليب حماية نظام التشغيل غير كافية لمعالجة المشكلات التي تكون بين العملية والأخرى في نطاق مثيلات البيئة الافتراضية. بالرغم من أن مثيلات البيئة الافتراضية محمية بمراقب الأجهزة الافتراضية في AWS من أي مشكلات تكون بين مثيل وآخر على النحو الموضح أعلاه، فإن العملاء الذين لديهم مخاوف بشأن عزل العملية في نطاق مثيلات البيئة الافتراضية الخاصة بهم (مثل، معالجة بيانات غير موثوق بها، تشغيل رمز غير موثوق به، استضافة مستخدمين غير موثوق بهم)، يُشجعون بشدة على الترحيل إلى أنواع مثيل HVM للاستفادة من مزايا الأمان على المدى الطويل.
لمزيد من المعلومات بشأن أوجه الاختلاف بين البيئة الافتراضية وHVM (بالإضافة إلى وثائق مسار ترقية المثيلات)، يرجى الاطلاع على:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
يُرجى الاستعانة بـ الدعم إذا كنت بحاجة إلى مساعدة بخصوص مسار ترقية لأي من مثيلات البيئة الافتراضية.
تحديثات لخدمات AWS أخرى
تطلبت الخدمات التالية تصحيح لمثيلات EC2 التي تُدار بالنيابة عن العملاء، وقد اكتمل العمل برمته، ولا حاجة لأي إجراء من جانب العميل:
- Fargate
- Lambda
لا تتطلب جميع خدمات AWS الأخرى أي إجراء من جانب العميل، ما لم يُذكر خلاف ذلك فيما يلي.
Amazon Linux AMI (معرّف النشرة: ALAS-2018-939)
يتوفر تحديث لنواة نظام Amazon Linux داخل مستودعات Amazon Linux. ومثيلات EC2 التي تم إطلاقها بتكوين Amazon Linux الافتراضي قبل الثامن (8) من يناير 2018 أو بعده، ستتضمن تلقائيًا الحزمة المحدثة التي تعالج أخطاء KPTI وتحسن عمليات الحد للإصدار CVE-2017-5754.
ملاحظة: يجب على العملاء الترقية إلى أحدث نواة من Amazon Linux أو AMI للتخفيف من CVE-2017-5754 بفعالية داخل المثيلات الخاصة بهم. سنستمر في توفير تحسينات على نظام Amazon Linux وتحديث وحدات AMI لنظام Amazon Linux؛ وذلك عن طريق إدماج مساهمات مجتمع Linux مفتوحة المصدر والتي تعالج هذه المشكلة فور توفرها.
ينبغي للعملاء الذين لديهم مثيلات Amazon Linux AMI حالية تشغيل الأمر التالي لضمان تلقيهم الحزمة المحدَّثة:
نواة تحديث sudo yum
لأن هذا هو المعيار لأي تحديث لنواة Linux، فإنه بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.
يتوفر مزيد من المعلومات حول هذه النشرة في مركز أمان Amazon Linux AMI.
وبشأن Amazon Linux 2، يرجى اتباع التعليمات الخاصة بنظام Amazon Linux المذكورة فيما سبق.
EC2 Windows
لقد حدّثنا وحدات AMI لنظام AWS Windows. هذه التحديثات متوفرة الآن لاستخدام العملاء، كما أن وحدات AMI في AWS Windows تتضمن تثبيت التصحيح اللازم وتمكين مفاتيح السجل.
لقد وفرت شركة Microsoft تصحيحات Windows لأنظمة Server 2008R2 و2012R2 و2016. تتوفر التصحيحات من خلال خدمة تحديث Windows المدمجة في نظام Server 2016. وننتظر معلومات من Microsoft عن توفُّر التصحيح لأنظمة Server 2003 و2008SP2 و2012RTM.
ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع تفعيل "التحديثات التلقائية"، تشغيل التحديثات التلقائية من أجل تنزيل التحديثات الضرورية لنظام Windows وتثبيتها عند توفُّرها.
يُرجى العلم أن تصحيحات Server 2008R2 و2012R2 غير متوفرة حاليًا من خلال تحديث Windows، وبالتالي تتطلب التنزيل يدويًا. سبق أن أشارت Microsoft إلى أن هذه التصحيحات ستتوفر في يوم الثلاثاء الموافق 9 يناير، ولكننا لا نزال ننتظر معلومات بشأن توفرها.
ينبغي لعملاء AWS، الذين يشغّلون مثيلات Windows على EC2 مع عدم تفعيل "التحديثات التلقائية"، تنزيل التحديثات اللازمة يدويًا عند توفُّرها باتباع التعليمات الواردة في هذا الرابط: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
يرجى العلم أنه بالنسبة لنظام Windows Server، فإن Microsoft تطلب خطوات إضافية لتمكين ميزات الحماية للتحديث الخاص بها لحل هذه المشكلة، وهذه الخطوات موضحة على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS Optimized AMI
لقد أطلقنا نظام Amazon ECS Optimized AMI الإصدار 2017.09.f الذي يدمج جميع طبقات حماية Amazon Linux الخاصة بهذه المشكلة، بما في ذلك التحديث الثاني لنواة النظام Amazon Linux المذكور سابقًا. وننصح جميع عملاء Amazon ECS بالترقية إلى أحدث إصدار متوفر على AWS Marketplace. سنستمر في إدماج تحسينات Amazon Linux فور توفُّرها.
العملاء الذين يختارون تحديث مثيلات ECS Optimized AMI المتاحة حاليًا، ينبغي لهم تشغيل الأمر التالي لضمان تلقي الحزمة المُحدثة:
نواة تحديث sudo yum
لأن هذا هو المعيار لأي تحديث لنواة Linux، فإنه بعد اكتمال تحديث yum، يجب إعادة التشغيل لتفعيل التحديثات.
يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل، أو برنامج، أو AMI بديل/خارجي بخصوص التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux AMI.
نجري تحديثات لنظام Amazon ECS-optimized Windows AMI، وسنحدّث النشرة عند توفرها. لقد وفرت شركة Microsoft تصحيحات Windows لنظام Server 2016. لمعرفة التفاصيل حول تطبيق التصحيحات وتشغيل المثيلات، يُرجى زيارة الموقع https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
لقد حدّثنا جميع المنصات القائمة على نظام Linux وقمنا بتضمين أدوات حماية Amazon Linux لهذه المشكلة. انظر ملاحظات الإصدار للاطلاع على الإصدارات المحددة للمنصة. ننصح عملاء Elastic Beanstalk بتحديث بيئاتهم إلى أحدث إصدار متوفر من المنصة. ستُحدث البيئات التي تستخدم التحديثات المُدارة تلقائيًا أثناء فتح نافذة الصيانة المكونة.
يواصل فريق Elastic Beanstalk العمل على تحديثات النظام الأساسي لنظام Windows، والتي ستكون متاحة خلال الاثني عشر (12) ساعة القادمة. نشجع عملاء Elastic Beanstalk، الذين يستخدمون المنصات التي تعتمد على نظام Windows، على التثبيت اليدوي لتحديثات الأمان المتوفرة باستخدام الإرشادات الواردة في قسم "EC2 Windows" من هذه النشرة المذكور أعلاه.
EMR
تطلق Amazon EMR مجموعات مثيلات Amazon EC2 التي تشغل Amazon Linux نيابة عن العملاء في حساب العميل. وينبغي للعملاء المهتمين بعزل العمليات داخل مثيلات مجموعات Amazon EMR لديهم الترقية إلى أحدث نواة من Amazon Linux وفقًا للتوصيات السابقة. نحن بصدد دمج أحدث نواة لنظام Amazon Linux ضمن إصدار ثانوي جديد في الفرع 5.11.x والفرع 4.9.x. سيتمكن العملاء من إنشاء مجموعات Amazon EMR جديدة باستخدام هذه الإصدارات. وسنحدّث نشرة الأمان هذه فور توفر هذه الإصدارات.
بالنسبة لإصدارات Amazon EMR الحالية وأي مثيلات مرتبطة قد تكون مشغلة من جانب العميل، فإننا ننصح بالتحديث إلى أحدث نواة Amazon Linux وفقًا للتوصيات السابقة. بالنسبة للمجموعات الجديدة، يمكن للعملاء استخدام إجراء التمهيد لتحديث نواة Linux وإعادة تشغيل كل مثيل. بالنسبة للمجموعات قيد التشغيل، يمكن للعملاء تسهيل تحديث نواة Linux وإعادة التشغيل لكل مثيل في مجموعته بطريقة التناوب. يرجى العلم أن إعادة تشغيل عمليات معينة يمكن أن تؤثر في التطبيقات قيد التشغيل في المجموعة.
RDS
يتم تخصيص كل مثيل من مثيلات قاعدة بيانات العميل المُدارة بواسطة RDS فقط لتشغيل محرك قاعدة بيانات عميل واحد فقط، شريطة عدم وجود أي عمليات أخرى يمكن الوصول إليها لدى العميل وعدم تمكين العملاء من تشغيل أي تعليمة برمجية على المثيل الأساسي. بما أن AWS قد انتهت من حماية البنية الأساسية التي تقوم عليها RDS بالكامل، فلن تشكّل المخاوف المتعلقة بنقل البيانات من عملية إلى عملية أخرى أو من عملية إلى نواة والناتجة عن هذه المشكلة أي خطورة على العملاء. لم تواجه معظم برامج دعم محرّكات قواعد البيانات المتوافقة مع RDS أي مشكلات بين العمليات التي يتم تنفيذها في الوقت الحالي. يمكن الاطلاع على التفاصيل الإضافية الخاصة بالمحركات أدناه، ولا يلزم اتخاذ أي إجراء من جهة العميل ما لم يُذكر خلاف ذلك. سنقوم بتحديث هذه النشرة بمجرد إتاحة مزيد من المعلومات.
بالنسبة إلى RDS الخاصة بمثيلات قاعدة بيانات الخادم SQL، سنصدر تصحيحات نظام التشغيل ومحرك قاعدة البيانات بمجرد أن توفرها Microsoft لكل منهما، ما يتيح للعملاء الترقية وقتما يشاؤون. وسنحدّث نشرة الأمان هذه عند اكتمال أي منهما. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا CLR (المعطلة بشكل افتراضي) الاطلاع على دليل Microsoft حول تعطيل امتداد CLR من الرابط https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
بالنسبة إلى RDS PostgreSQL وAurora PostgreSQL، لا يلزم أن يتخذ العملاء أي إجراء في مثيلات DB العاملة بالتكوين الافتراضي حاليًا. سنوفر التصحيحات الضرورية لمستخدمي امتدادات plv8 فور توفُّرها. وفي هذه الأثناء، ينبغي للعملاء الذين مكّنوا امتدادات plv8 (المعطلة بشكل افتراضي) أن يقوموا بتعطيلها والاطلاع على دليل V8 عبر الرابط https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
لا يلزم أن يتخذ العميل أي إجراء بشأن مثيلات قاعدة البيانات RDS for MariaDB وRDS for MySQL وAurora MySQL وRDS for Oracle.
VMware Cloud on AWS
لكل VMware، تم تقديم "المعالجة كما هي موثقة في VMSA-2018-0002، في VMware Cloud on AWS منذ أوائل ديسمبر 2017".
يرجى الرجوع إلى مدونة الأمان والامتثال في VMware لمزيد من التفاصيل والاطلاع على الموقع https://status.vmware-services.io لمعرفة الحالة المحدثة.
WorkSpaces
ستطبّق AWS تحديثات الأمان التي أصدرتها Microsoft على معظم تطبيقات AWS WorkSpaces في عطلة نهاية الأسبوع القادمة. وحري بالعملاء أن يتوقعوا إعادة تشغيل تطبيقات WorkSpaces لديهم في تلك الفترة.
وينبغي لعملاء Bring Your Own License (BYOL) والعملاء الذين غيّروا الإعداد الافتراضي للتحديث في WorkSpaces لديهم أن يطبّقوا تحديثات الأمان التي توفرها Microsoft يدويًا.
يُرجى اتّباع التعليمات المقدّمة من قسم استشارات الأمان من Microsoft على الرابط التالي: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. يدرج قسم استشارات الأمان روابط للمقالات التثقيفية الأساسية لكلٍ من نظامي التشغيل Windows Server وClient لتوفير المزيد من المعلومات المحددة.
ستتوفّر حِزَم WorkSpaces المحدّثة مع تحديثات الأمان قريبًا. ينبغي للعملاء، الذين أنشأوا باقات مخصّصة، تحديث باقاتهم لتتضمّن تحديثات الأمان ذاتها. إن أي WorkSpaces جديدة يتم إطلاقها من حِزَم التحديثات ستتلقى تصحيحات بعد إطلاقها بوقت قصير ما لم يغير العملاء إعداد التحديث الافتراضي في WorkSpaces لديهم، وفي هذه الحالة ينبغي لهم اتّباع الخطوات المذكورة أعلاه لتطبيق تحديثات الأمان المقدّمة من Microsoft بشكل يدوي.
Amazon WorkSpaces Application Manager (WAM)
نوصي العملاء باختيار أحد الإجراءين التاليَين:
الخيار 1: تطبيق تصحيحات Microsoft يدويًا على المثيلات العاملة لأداة التعبئة والتحقّق من الصحة WAM من خلال اتّباع هذه الخطوات المقدّمة من Microsoft على الرابط التالي: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . توفّر هذه الصفحة تعليمات وروابط تنزيل إضافية لنظام Windows Server.
الخيار 2: إعادة إنشاء مثيلات EC2 جديدة لأداة التعبئة والتحقّق WAM من وحدات AMI المحدّثة لأداة التعبئة والتحقّق WAM التي ستتم إتاحتها بحلول نهاية يوم (04/01/2018).