تاريخ آخر تحديث: 18 يونيو، 2019 الساعة 11:45 صباحًا بتوقيت منطقة المحيط الهادئ
مُعرِّفات CVE: CVE-2019-11477، وCVE-2019-11478، وCVE-2019-11479
يُعد ذلك تحديثًا لهذه المشكلة.
Amazon Elastic Container Service (ECS)
قامت Amazon ECS بنشر Amazon Machine Images (AMI) المحسَّنة من ECS مع النواة المصحَّحة لكل من Amazon Linux وAmazon Linux 2 في يومَي 17 و18 يونيو 2019. يتوفر المزيد من المعلومات عن AMI المجهزة لـ ECS، بما في ذلك كيفية الحصول على أحدث إصدار على https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
نُوصي بتحديث عملاء ECS مثيلات EC2 التي تعمل كحاويات مهام لاستخدام أحدث إصدار من AMI المجهزة لـ ECS.
Amazon GameLift
أصبحت AMI محدَّثة لمثيلات Amazon GameLift المستندة إلى Linux متوفرة في جميع مناطق Amazon GameLift. نُوصي بإنشاء العملاء الذين يستخدمون مثيلات Amazon GameLift المستندة إلى Linux أساطيل جديدة لاستلام AMI المحدَّثة. يتوفر المزيد من المعلومات حول إنشاء الأساطيل على https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
تتوفر إصدارات محدَّثة لمنصة AWS Elastic Beanstalk المستندة إلى Linux. سيتم تحديث العملاء الذين يستخدمون تحديثات المنصة المُدارة تلقائيًا إلى أحدث إصدار من المنصة في نافذة الصيانة المحددة، ولا يلزم أن يتَّخذ العميل أي إجراء. وبدلاً من ذلك، يمكن للعملاء الذين يستخدمون تحديثات المنصة المُدارة تطبيق التحديثات المتوفرة بشكل مستقل في وقت أبكر من نافذة الصيانة المحددة، وذلك عن طريق الانتقال إلى صفحة تكوين التحديثات المُدارة والنقر فوق زر «تطبيق الآن».
يجب على العملاء الذين لم يمكّنوا تحديثات المنصة المُدارة تحديث إصدار منصة بيئتهم عبر اتباع التعليمات أعلاه. يتوفر المزيد من المعلومات حول تحديثات المنصة المُدارة على https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux وAmazon Linux 2
تتوفر نَوَيات Linux المحدَّثة لـ Amazon Linux في مستودعات Amazon Linux، كما تتوفر Amazon Linux AMI المحدَّثة للاستخدام. يجب على العملاء الذين توجد لديهم مثيلات EC2 حالية تشغِّل Amazon Linux تشغيل الأمر التالي في كل مثيل EC2 من المثيلات التي تشغِّل Amazon Linux للتأكد من حصولهم على الحزمة المحدَّثة:
نواة تحديث sudo yum
يجب إجراء إعادة التشغيل حتى تصبح التحديثات سارية المفعول، نظرًا إلى أن ذلك هو معيار أي تحديث لنواة Linux بعد اكتمال تحديث yum.
يجب على العملاء الذين لا يستخدمون Amazon Linux التواصل مع بائع نظام التشغيل للحصول على أي تحديثات أو تعليمات ضرورية لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث متعلقة بهذه المشكلات. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
Amazon Elastic Compute Cloud (EC2)
يجب على عملاء EC2 الذين يستخدمون المثيلات المستندة إلى Linux إما التي تبدأ اتصالات TCP أو تتلقَّاها مباشرةً من الجهات غير الموثوق بها أو إليها، على سبيل المثال الإنترنت، الحصول على تصحيحات نظام التشغيل لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث متعلقة بهذه المشكلات. ملاحظة: يجب على العملاء الذين يستخدمون Amazon Elastic Load Balancing (ELB) مراجعة «Elastic Load Balancing (ELB)» أدناه للحصول على إرشادات إضافية.
Elastic Load Balancing (ELB)
لا تعمل Network Load Balancer في TCP على تصفية حركة البيانات، إلا إذا كانت مكوَّنة لإنهاء جلسات TLS. لا يلزم أن يتَّخذ العمل أي إجراءات إضافية لتقليل هذه المشكلة فيما يتعلق بـ NLB التي تم تكوينها لإنهاء جلسات TLS.
يجب على مثيلات EC2 المستندة إلى Linux التي تستخدم TCP NLB التي لا تُنهي جلسات TLS الحصول على تصحيحات نظام التشغيل لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث ذات صلة بهذه المشكلات. تتوفر الآن النَوَيات المحدَّثة لـ Amazon Linux، وتوجد المعلومات المتعلقة بتحديث مثيلات EC2 التي تشغِّل حاليًا Amazon Linux أعلاه. يجب على العملاء الذين لا يستخدمون Amazon Linux التواصل مع بائع نظام التشغيل للحصول على أي تحديثات أو تعليمات ضرورية لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث.
لا يلزم أن يتَّخذ العميل أي إجراءات فيما يتعلق بمثيلات EC2 المستندة إلى Linux التي تستخدم Elastic Load Balancing (ELB) Classic Load Balancers، أو Application Load Balancers، أو Network Load Balancers التي تُنهي TLS (TLS NLB). ستتولَّى ELB Classic وALB مسؤولية تصفية حركة البيانات الواردة لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث متعلقة بهذه المشكلات.
Amazon WorkSpaces (Linux)
سيتم إطلاق كافة Amazon Linux WorkSpace الجديدة بنَوَيات محدَّثة. لقد تم بالفعل تثبيت النَوَيات المحدَّثة لـ Amazon Linux 2 في Amazon Linux WorkSpace الحالية.
يجب إجراء إعادة التشغيل حتى تصبح التحديثات سارية المفعول، نظرًا إلى أن ذلك هو معيار أي تحديث لنواة Linux. نُوصي بأن يُعيد العملاء التشغيل يدويًا في أقرب وقت ممكن. وإلا، ستُعيد Amazon Linux WorkSpace التشغيل تلقائيًا بين الساعة 12:00 صباحًا والساعة 4:00 صباحًا يوم 18 يونيو بالتوقيت المحلي.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
تحظى جميع مجموعات Amazon EKS التي يتم تشغيلها حاليًا بالحماية من هذه المشكلات. قامت Amazon EKS بنشر Amazon Machine Images (AMI) المحسَّنة من EKS مع النواة المصحَّحة لـ Amazon Linux 2 في 17 يونيو 2019. يتوفر المزيد من المعلومات عن AMI المجهزة لـ EKS على https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
نُوصي باستبدال عملاء EKS جميع عُقد العامل لاستخدام أحدث إصدارات AMI المجهزة لـ EKS. تتوفر التعليمات حول تحديث عُقد العامل على https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Amazon ElastiCache
تُطلق Amazon ElastiCache مجموعات من مثيلات Amazon EC2 التي تشغِّل Amazon Linux في VPC الخاصة بالعملاء. ولا تقبل هذه المجموعات اتصالات TCP غير الموثوق بها افتراضيًا ولا تتأثر بتلك المشكلات.
يجب على العملاء الذين أجروا التغييرات في تكوين ElastiCache VPC الافتراضي ضمان أن مجموعات أمان ElastiCache تتبع أفضل الممارسات الأمنية المُوصى بها من AWS، وذلك عبر تكوينها لمنع نقل بيانات الشبكة من العملاء غير الموثوق بهم لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث. يتوفر المزيد من المعلومات حول تكوين ElastiCache VPC على https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
يجب على العملاء الذين يشغِّلون مجموعات ElastiCache خارج VPC وأجروا التغييرات في التكوين الافتراضي تكوين وصول موثوق به باستخدام مجموعات أمان ElastiCache. لمزيد من المعلومات حول إنشاء مجموعات أمان ElastiCache، انظر https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
سيُطلق فريق ElastiCache تصحيحًا جديدًا خلال فترة قصيرة، وسيُعالج بدوره هذه المشكلات. وبمجرد إتاحة هذا التصحيح، سنُخطر العملاء بأنه على استعداد للتطبيق. يمكن للعملاء حينئذ اختيار تحديث مجموعاتهم بميزة تحديث الخدمة الذاتية من ElastiCache. يتوفر المزيد من المعلومات عن تحديثات تصحيح الخدمة الذاتية من ElastiCache على https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
تُطلق Amazon EMR مجموعات من مثيلات Amazon EC2 التي تشغِّل Amazon Linux في VPC الخاصة بالعملاء نيابةً عنهم. ولا تقبل هذه المجموعات اتصالات TCP غير الموثوق بها افتراضيًا، ولذلك فإنها لا تتأثر بهذه المشكلات.
يجب على العملاء الذين أجروا التغييرات في تكوين EMR VPC الافتراضي ضمان أن مجموعات أمان EMR تتبع أفضل الممارسات الأمنية المُوصى بها من AWS، أي التي تمنع نقل بيانات الشبكة من العملاء غير الموثوق بهم لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث. انظر https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html لمزيد من المعلومات عن مجموعات أمان EMR.
يستطيع العملاء الذين يختارون عدم تكوين مجموعات أمان EMR وفقًا لأفضل الممارسات الأمنية المُوصى بها من AWS (أو الذين يجب عليهم الحصول على تصحيحات نظام التشغيل لتلبية أي سياسة أمان إضافية) اتباع التعليمات أدناه لتحديث مجموعات EMR الجديدة أو الحالية لتقليل هذه المشكلات. ملاحظة: ستتطلب هذه التحديثات إجراء عمليات إعادة التشغيل لمثيلات المجموعات وقد تؤثر في التطبيقات التي يجري تشغيلها. ينبغي ألا يُعيد العملاء تشغيل مجموعاتهم حتى يروا أنه من الضروري القيام بذلك:
بالنسبة إلى المجموعات الجديدة، استخدم إجراء تمهيد تشغيل EMR لتحديث نواة Linux وإعادة تشغيل كل مثيل. يتوفر المزيد من المعلومات حول إجراءات تمهيد تشغيل EMR على https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
بالنسبة إلى المجموعات الحالية، حدِّث نواة Linux في كل مثيل داخل المجموعة وأعد تشغيلها بنمط متغيّر.