أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للحصول على أحدث إصدار تفضل بزيارة: «مشكلات قطع الخدمة في Linux Kernel TCP SACK».
17 من يونيو 2019، الساعة 10:00 صباحًا بتوقيت منطقة المحيط الهادئ
مُعرِّفات CVE: CVE-2019-11477، وCVE-2019-11478، وCVE-2019-11479
إن AWS على دراية بثلاث مشكلات تم الكشف عنها مؤخرًا تؤثر على النظام الفرعي لمعالجة TCP الخاص بنواة Linux. يمكن لأي عميل أو خادم TCP ضار، على وجه التحديد، إرسال سلسلة من الحزم المصممة خصيصًا يمكن قد تسبب تشتت نواة Linux لأي نظام اتصال مستهدف وإعادة تشغيلها.
تتم حماية الأنظمة الأساسية والبنية التحتية لـ AWS ضد هذه المشكلات. وباستثناء خدمات AWS المدرجة أدناه، لا يلزم اتخاذ أي إجراء من جانب العميل لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS) مرتبطة بهذه المشكلات.
Amazon Elastic Compute Cloud (EC2)
يجب على عملاء EC2 الذين يستخدمون المثيلات المستندة إلى Linux إما التي تبدأ اتصالات TCP أو تتلقَّاها مباشرةً من الجهات غير الموثوق بها أو إليها، على سبيل المثال الإنترنت، الحصول على تصحيحات نظام التشغيل لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS) مرتبطة بهذه المشكلات. ملاحظة: يجب على العملاء الذين يستخدمون Amazon Elastic Load Balancing (ELB) مراجعة «Elastic Load Balancing (ELB)» أدناه للحصول على إرشادات إضافية.
Amazon Linux AMI وAmazon Linux 2 AMI
ستتوفر قريبًا وحدات Amazon Linux AMIs المحدثة. وسنحدِّث هذه النشرة عند توفُّر هذه الإصدارات للاستخدام.
تتوفر نَوَيات محدثة لنظام Amazon Linux AMI وAmazon Linux 2 بشكل مباشر في مستودعات Amazon Linux. يجب على العملاء الذين توجد لديهم مثيلات EC2 حالية تشغِّل Amazon Linux تشغيل الأمر التالي في كل مثيل EC2 من المثيلات التي تشغِّل Amazon Linux للتأكد من حصولهم على الحزمة المحدَّثة:
نواة تحديث sudo yum
يجب إجراء إعادة التشغيل حتى تصبح التحديثات سارية المفعول، نظرًا إلى أن ذلك هو معيار أي تحديث لنواة Linux بعد اكتمال تحديث yum.
سيتوفر المزيد من المعلومات بعد فترة قصيرة في مركز أمان Amazon Linux.
Elastic Load Balancing (ELB)
لا تعمل Network Load Balancers (NLBs) على تصفية حركة تدفق البيانات. يجب على مثيلات EC2 المستندة إلى Linux التي تستخدم NLBs الحصول على تصحيحات نظام التشغيل لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS) مرتبطة بهذه المشكلات. تتوفر الآن النَوَيات المحدَّثة لـ Amazon Linux، وتوجد المعلومات المتعلقة بتحديث مثيلات EC2 التي تشغِّل حاليًا Amazon Linux أعلاه. يجب على العملاء الذين لا يستخدمون Amazon Linux التواصل مع بائع نظام التشغيل للحصول على أي تحديثات أو تعليمات ضرورية لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS).
لا يلزم أن يتَّخذ العميل أي إجراءات فيما يتعلق بمثيلات EC2 المستندة إلى Linux التي تستخدم Elastic Load Balancing (ELB) أو Classic Load Balancers أو Application Load Balancers. ستتولَّى ELB Classic وALB مسؤولية تصفية حركة البيانات الواردة لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS) مرتبطة بهذه المشكلات.
Amazon WorkSpaces (Linux)
سيتم إطلاق كافة Amazon Linux WorkSpace الجديدة بنَوَيات محدَّثة. لقد تم بالفعل تثبيت النَوَيات المحدَّثة لـ Amazon Linux 2 في Amazon Linux WorkSpace الحالية.
يجب إجراء إعادة التشغيل حتى تصبح التحديثات سارية المفعول، نظرًا إلى أن ذلك هو معيار أي تحديث لنواة Linux. نُوصي بأن يُعيد العملاء التشغيل يدويًا في أقرب وقت ممكن. وإلا، ستُعيد Amazon Linux WorkSpace التشغيل تلقائيًا بين الساعة 12:00 صباحًا والساعة 4:00 صباحًا يوم 18 يونيو بالتوقيت المحلي.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
تحظى جميع مجموعات Amazon EKS التي يتم تشغيلها حاليًا بالحماية من هذه المشكلات. قامت Amazon EKS بنشر Amazon Machine Images (AMI) المحسَّنة من EKS مع النواة المصحَّحة لـ Amazon Linux 2 في 17 يونيو 2019. يتوفر المزيد من المعلومات عن AMI المجهزة لـ EKS على https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
نُوصي باستبدال عملاء EKS جميع عُقد العامل لاستخدام أحدث إصدارات AMI المجهزة لـ EKS. تتوفر التعليمات حول تحديث عُقد العامل على https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
ستكون الإصدارات المحدّثة من المنصات المستندة إلى AWS Elastic Beanstalk Linux متوفرة اعتبارًا من 17 يونيو 2019. سيتم تحديث هذه النشرة بمجرد توفر إصدارات المنصات الجديدة. سيجري تحديث العملاء الذين يستخدمون تحديثات المنصة المُدارة تلقائيًا بأحدث إصدار منها في نافذة الصيانة المحددة لديهم، ولا يلزم أن يتخذ العميل أي إجراء آخر. وبدلاً من ذلك، يمكن للعملاء الذين يستخدمون تحديثات المنصة المُدارة تطبيق التحديثات المتوفرة بشكل مستقل في وقت أبكر من نافذة الصيانة المحددة، وذلك عن طريق الانتقال إلى صفحة تكوين التحديثات المُدارة والنقر فوق زر «تطبيق الآن».
يجب على العملاء الذين لم يمكّنوا تحديثات المنصة المُدارة تحديث إصدار منصة بيئتهم عبر اتباع التعليمات المدرجة أعلاه. يتوفر المزيد من المعلومات حول تحديثات المنصة المُدارة على https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
تُطلق Amazon ElastiCache مجموعات من مثيلات Amazon EC2 التي تشغِّل Amazon Linux في VPC الخاصة بالعملاء. ولا تقبل هذه المجموعات اتصالات TCP غير الموثوق بها افتراضيًا ولا تتأثر بتلك المشكلات.
يجب على العملاء الذين أجروا التغييرات في تكوين ElastiCache VPC الافتراضي ضمان أن مجموعات أمان ElastiCache تتبع أفضل الممارسات الأمنية المُوصى بها من AWS، وذلك عبر تكوينها لمنع نقل بيانات الشبكة من العملاء غير الموثوق بهم لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث. يتوفر المزيد من المعلومات حول تكوين ElastiCache VPC على https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
يجب على العملاء الذين يشغِّلون مجموعات ElastiCache خارج VPC وأجروا التغييرات في التكوين الافتراضي تكوين وصول موثوق به باستخدام مجموعات أمان ElastiCache. لمزيد من المعلومات حول إنشاء مجموعات أمان ElastiCache، انظر https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
سيُطلق فريق ElastiCache تصحيحًا جديدًا خلال فترة قصيرة، وسيُعالج بدوره هذه المشكلات. وبمجرد إتاحة هذا التصحيح، سنُخطر العملاء بالاستعداد للتطبيق. يمكن للعملاء حينئذ اختيار تحديث مجموعاتهم بميزة تحديث الخدمة الذاتية من ElastiCache. يتوفر المزيد من المعلومات عن تحديثات تصحيح الخدمة الذاتية من ElastiCache على https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
تُطلق Amazon EMR مجموعات من مثيلات Amazon EC2 التي تشغِّل Amazon Linux في VPC الخاصة بالعملاء نيابةً عنهم. ولا تقبل هذه المجموعات اتصالات TCP غير الموثوق بها افتراضيًا، ولذلك فإنها لا تتأثر بهذه المشكلات.
يجب على العملاء الذين أجروا التغييرات في تكوين EMR VPC الافتراضي ضمان أن مجموعات أمان EMR تتبع أفضل الممارسات الأمنية المُوصى بها من AWS، أي التي تمنع نقل بيانات الشبكة من العملاء غير الموثوق بهم لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS). انظر https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html لمزيد من المعلومات عن مجموعات أمان EMR.
يستطيع العملاء الذين يختارون عدم تكوين مجموعات أمان EMR وفقًا لأفضل الممارسات الأمنية المُوصى بها من AWS (أو الذين يجب عليهم الحصول على تصحيحات نظام التشغيل لتلبية أي سياسة أمان إضافية) اتباع التعليمات أدناه لتحديث مجموعات EMR الجديدة أو الحالية لتقليل هذه المشكلات. ملاحظة: ستتطلب هذه التحديثات إجراء عمليات إعادة التشغيل لمثيلات المجموعات وقد تؤثر في التطبيقات التي يجري تشغيلها. ينبغي ألا يُعيد العملاء تشغيل مجموعاتهم حتى يروا أنه من الضروري القيام بذلك:
بالنسبة إلى المجموعات الجديدة، استخدم إجراء تمهيد تشغيل EMR لتحديث نواة Linux وإعادة تشغيل كل مثيل. يتوفر المزيد من المعلومات حول إجراءات تمهيد تشغيل EMR على https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
بالنسبة إلى المجموعات الحالية، حدِّث نواة Linux في كل مثيل داخل المجموعة وأعد تشغيلها بنمط متغيّر.