تم آخر تحديث في: 17 يونيو 2019، الساعة 2:15 مساءً بتوقيت المحيط الهادئ
معرِّفات CVE: CVE-2019-11477 وCVE-2019-11478 وCVE-2019-11479
هذا تحديث بشأن هذه المشكلة.
تتوفر نَوَيات Linux المحدَّثة لـ Amazon Linux في مستودعات Amazon Linux، كما تتوفر Amazon Linux AMI المحدَّثة للاستخدام. يجب على العملاء الذين توجد لديهم مثيلات EC2 حالية تشغِّل Amazon Linux تشغيل الأمر التالي في كل مثيل EC2 من المثيلات التي تشغِّل Amazon Linux للتأكد من حصولهم على الحزمة المحدَّثة:
نواة تحديث sudo yum
يجب إجراء إعادة التشغيل حتى تصبح التحديثات سارية المفعول، نظرًا إلى أن ذلك هو معيار أي تحديث لنواة Linux بعد اكتمال تحديث yum.
يجب على العملاء الذين لا يستخدمون Amazon Linux التواصل مع بائع نظام التشغيل للحصول على أي تحديثات أو تعليمات ضرورية لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث متعلقة بهذه المشكلات. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux
Amazon Elastic Compute Cloud (EC2)
يجب على عملاء EC2 الذين يستخدمون المثيلات المستندة إلى Linux إما التي تبدأ اتصالات TCP أو تتلقَّاها مباشرةً من الجهات غير الموثوق بها أو إليها، على سبيل المثال الإنترنت، الحصول على تصحيحات نظام التشغيل لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث متعلقة بهذه المشكلات. ملاحظة: يجب على العملاء الذين يستخدمون Amazon Elastic Load Balancing (ELB) مراجعة «Elastic Load Balancing (ELB)» أدناه للحصول على إرشادات إضافية.
Elastic Load Balancing (ELB)
لا تعمل Network Load Balancer في TCP على تصفية حركة البيانات، إلا إذا كانت مكوَّنة لإنهاء جلسات TLS. لا يلزم أن يتَّخذ العميل أي إجراءات إضافية لتقليل هذه المشكلة فيما يتعلق بـ NLB التي تم تكوينها لإنهاء جلسات TLS.
يجب على مثيلات EC2 المستندة إلى Linux التي تستخدم TCP NLB والتي لا تُنهي جلسات TLS الحصول على تصحيحات نظام التشغيل لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث ذات صلة بهذه المشكلات. تتوفر الآن النَوَيات المحدَّثة لـ Amazon Linux، وتوجد المعلومات المتعلقة بتحديث مثيلات EC2 التي تشغِّل حاليًا Amazon Linux أعلاه. يجب على العملاء الذين لا يستخدمون Amazon Linux التواصل مع بائع نظام التشغيل للحصول على أي تحديثات أو تعليمات ضرورية لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS).
لا يلزم أن يتَّخذ العميل أي إجراءات فيما يتعلق بمثيلات EC2 المستندة إلى Linux التي تستخدم Elastic Load Balancing (ELB) Classic Load Balancers، أو Application Load Balancers، أو Network Load Balancers التي تُنهي TLS (TLS NLB). ستتولَّى ELB Classic وALB مسؤولية تصفية حركة البيانات الواردة لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS) مرتبطة بهذه المشكلات.
Amazon WorkSpaces (Linux)
سيتم إطلاق كافة Amazon Linux WorkSpace الجديدة بنَوَيات محدَّثة. لقد تم بالفعل تثبيت النَوَيات المحدَّثة لـ Amazon Linux 2 في Amazon Linux WorkSpace الحالية.
يجب إجراء إعادة التشغيل حتى تصبح التحديثات سارية المفعول، نظرًا إلى أن ذلك هو معيار أي تحديث لنواة Linux. نُوصي بأن يُعيد العملاء التشغيل يدويًا في أقرب وقت ممكن. وإلا، ستُعيد Amazon Linux WorkSpace التشغيل تلقائيًا بين الساعة 12:00 صباحًا والساعة 4:00 صباحًا يوم 18 يونيو بالتوقيت المحلي.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
تحظى جميع مجموعات Amazon EKS التي يتم تشغيلها حاليًا بالحماية من هذه المشكلات. قامت Amazon EKS بنشر Amazon Machine Images (AMI) المحسَّنة من EKS مع النواة المصحَّحة لـ Amazon Linux 2 في 17 يونيو 2019. يتوفر المزيد من المعلومات عن AMI المجهزة لـ EKS على https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
نُوصي باستبدال عملاء EKS جميع عُقد العامل لاستخدام أحدث إصدارات AMI المجهزة لـ EKS. تتوفر التعليمات حول تحديث عُقد العامل على https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
ستكون الإصدارات المحدّثة من المنصات المستندة إلى AWS Elastic Beanstalk Linux متوفرة اعتبارًا من 17 يونيو 2019. سيتم تحديث هذه النشرة بمجرد توفر إصدارات المنصات الجديدة. سيجري تحديث العملاء الذين يستخدمون تحديثات المنصة المُدارة تلقائيًا بأحدث إصدار منها في نافذة الصيانة المحددة لديهم، ولا يلزم أن يتخذ العميل أي إجراء آخر. وبدلاً من ذلك، يمكن للعملاء الذين يستخدمون تحديثات المنصة المُدارة تطبيق التحديثات المتوفرة بشكل مستقل في وقت أبكر من نافذة الصيانة المحددة، وذلك عن طريق الانتقال إلى صفحة تكوين التحديثات المُدارة والنقر فوق زر «تطبيق الآن».
يجب على العملاء الذين لم يمكّنوا تحديثات المنصة المُدارة تحديث إصدار منصة بيئتهم عبر اتباع التعليمات المدرجة أعلاه. يتوفر المزيد من المعلومات حول تحديثات المنصة المُدارة على https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
تُطلق Amazon ElastiCache مجموعات من مثيلات Amazon EC2 التي تشغِّل Amazon Linux في VPC الخاصة بالعملاء. ولا تقبل هذه المجموعات اتصالات TCP غير الموثوق بها افتراضيًا ولا تتأثر بتلك المشكلات.
يجب على العملاء الذين أجروا التغييرات في تكوين ElastiCache VPC الافتراضي ضمان أن مجموعات أمان ElastiCache تتبع أفضل الممارسات الأمنية المُوصى بها من AWS، وذلك عبر تكوينها لمنع نقل بيانات الشبكة من العملاء غير الموثوق بهم لتقليل أي شواغل حرمان من الخدمة (DoS) محتملة الحدوث. يتوفر المزيد من المعلومات حول تكوين ElastiCache VPC على https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
يجب على العملاء الذين يشغِّلون مجموعات ElastiCache خارج VPC وأجروا التغييرات في التكوين الافتراضي تكوين وصول موثوق به باستخدام مجموعات أمان ElastiCache. لمزيد من المعلومات حول إنشاء مجموعات أمان ElastiCache، انظر https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
سيُطلق فريق ElastiCache تصحيحًا جديدًا خلال فترة قصيرة، وسيُعالج بدوره هذه المشكلات. وبمجرد إتاحة هذا التصحيح، سنُخطر العملاء بالاستعداد للتطبيق. يمكن للعملاء حينئذ اختيار تحديث مجموعاتهم بميزة تحديث الخدمة الذاتية من ElastiCache. يتوفر المزيد من المعلومات عن تحديثات تصحيح الخدمة الذاتية من ElastiCache على https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
تُطلق Amazon EMR مجموعات من مثيلات Amazon EC2 التي تشغِّل Amazon Linux في VPC الخاصة بالعملاء نيابةً عنهم. ولا تقبل هذه المجموعات اتصالات TCP غير الموثوق بها افتراضيًا، ولذلك فإنها لا تتأثر بهذه المشكلات.
يجب على العملاء الذين أجروا التغييرات في تكوين EMR VPC الافتراضي ضمان أن مجموعات أمان EMR تتبع أفضل الممارسات الأمنية المُوصى بها من AWS، أي التي تمنع نقل بيانات الشبكة من العملاء غير الموثوق بهم لتقليل أي مخاوف محتملة بانقطاع الخدمة (DoS). انظر https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html لمزيد من المعلومات عن مجموعات أمان EMR.
يستطيع العملاء الذين يختارون عدم تكوين مجموعات أمان EMR وفقًا لأفضل الممارسات الأمنية المُوصى بها من AWS (أو الذين يجب عليهم الحصول على تصحيحات نظام التشغيل لتلبية أي سياسة أمان إضافية) اتباع التعليمات أدناه لتحديث مجموعات EMR الجديدة أو الحالية لتقليل هذه المشكلات. ملاحظة: ستتطلب هذه التحديثات إجراء عمليات إعادة التشغيل لمثيلات المجموعات وقد تؤثر في التطبيقات التي يجري تشغيلها. ينبغي ألا يُعيد العملاء تشغيل مجموعاتهم حتى يروا أنه من الضروري القيام بذلك:
بالنسبة إلى المجموعات الجديدة، استخدم إجراء تمهيد تشغيل EMR لتحديث نواة Linux وإعادة تشغيل كل مثيل. يتوفر المزيد من المعلومات حول إجراءات تمهيد تشغيل EMR على https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
بالنسبة إلى المجموعات الحالية، حدِّث نواة Linux في كل مثيل داخل المجموعة وأعد تشغيلها بنمط متغيّر.