涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

更新时间:2018 年 3 月 5 日下午 3:00(太平洋标准时间)

这是对此问题的更新。

Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新内核。在 2018 年 1 月 13 日或之后使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新的软件包,该软件包提供了最新的、稳定的开源 Linux 安全改进,以解决内核中的 CVE-2017-5715 问题,并建立在之前包含的解决 CVE-2017-5754 问题的内核页表隔离 (KPTI) 之上。 客户必须升级到最新的 Amazon Linux 内核或 AMI,以在他们的实例中有效缓解 CVE-2017-5715 的进程到进程问题和 CVE-2017-5754 的进程到进程问题。有关更多信息,请参阅“处理器推测执行 – 操作系统更新”。

请参阅下文中有关半虚拟化 (PV) 实例的“PV 实例指南”信息。

Amazon EC2

Amazon EC2 队列中的所有实例都受到保护,不会受到 CVE-2017-5715、CVE-2017-5753 和 CVE-2017-5754 的所有已知实例到实例问题的影响。实例到实例问题假设非受信相邻实例可以读取另一个实例或 AWS 管理程序的内存。AWS 管理程序已解决此问题,并且任何实例都无法读取另一个实例的内存,任何实例也无法读取 AWS 管理程序内存。如前所述,对于绝大多数 EC2 工作负载,我们尚未发现有意义的性能影响。

截至到 2018 年 1 月 12 日,我们已在 AWS 平台上对部分新的 Intel CPU 微代码完成了停用操作,我们在这些平台上发现了由 Intel 微代码更新引起的少量崩溃和其他无法预测的行为。此更改为这些少数实例缓解了此类问题。

适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作

尽管如上所述,所有客户实例都已受到保护,但我们仍建议客户修补其实例操作系统,以解决此问题的进程到进程或进程到内核问题。有关适用于 Amazon Linux 和 Amazon Linux 2、CentOS、Debian、Fedora、Microsoft Windows、Red Hat、SUSE 以及 Ubuntu 的更多指导和说明信息,请参阅“处理器推测执行 – 操作系统更新”。

PV 实例指南

经过对这一问题可用的操作系统补丁进行深入研究和详细分析之后,我们确定操作系统保护不足以解决半虚拟化 (PV) 实例中的进程到进程问题。尽管如上所述,AWS 管理程序保护 PV 实例免受任何实例到实例问题的影响,但是强烈建议关注 PV 实例内流程隔离(例如,处理不受信任的数据、运行不受信任的代码、托管不受信任的用户)的客户迁移到 HVM 实例类型,以获取长期安全利益。

有关 PV 和 HVM 之间差异(以及实例升级路径文档)的更多信息,请参阅:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

如果您在任何 PV 实例的升级途径方面需要帮助,请与支持部门联系。

其他 AWS 服务更新

以下需要修补代表客户托管的 EC2 实例的服务已完成所有工作,无需客户采取任何操作:

  • Fargate
  • Lambda

除非下文另有说明,否则所有其他 AWS 服务都无需客户采取操作。

ECS Optimized AMI

我们已经发布了 Amazon ECS Optimized AMI 版本2017.09.g,其中包含针对此问题的所有 Amazon Linux 保护。我们建议所有 Amazon ECS 客户通过 AWS Marketplace 升级到最新版本。

选择更新现有 ECS Optimized AMI 实例的客户应运行以下命令,以确保收到更新的软件包:

sudo yum update kernel

Linux 内核的任何更新都是标准的,在 yum 更新完成后,需要重新启动才能使更新生效。

建议不使用 ECS Optimized AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心

我们已经发布了 Amazon ECS Optimized Windows AMI 版本2018.01.10。有关如何将补丁应用于正在运行的实例的详细信息,请参阅“处理器推测执行 – 操作系统更新”。

Elastic Beanstalk

我们已经更新了所有基于 Linux 的平台,以包括针对此问题的所有 Amazon Linux 保护。有关具体平台版本,请参见发行说明。我们建议 Elastic Beanstalk 客户将其环境更新为最新的可用平台版本。使用托管更新的环境将在配置的维护时段自动更新。

基于 Windows 的平台也已更新,以包括针对此问题的所有 EC2 Windows 保护。建议客户将其基于 Windows 的 Elastic Beanstalk 环境更新为最新的可用平台配置。

ElastiCache

ElastiCache 托管的客户缓存节点每个都用于仅为单个客户运行缓存引擎,没有其他客户可访问的进程,并且客户无法在基础实例上运行代码。由于 AWS 已经完成了对所有基础设施底层 ElastiCache 的保护,因此,此问题的流程到内核或流程到流程问题不会给客户带来风险。两个缓存引擎 ElastiCache 支持目前都报告没有已知的进程内问题。

EMR

Amazon EMR 代表客户将运行 Amazon Linux 的 Amazon EC2 实例的集群启动到客户的账户中。关注 Amazon EMR 集群实例中的流程隔离的客户应按照上述建议升级到最新的 Amazon Linux 内核。我们已将最新的 Amazon Linux 内核添加到新的次要版本 5.11.1、5.8.1、5.5.1 和 4.9.3 中。客户可以使用这些版本创建新的 Amazon EMR 集群。

对于当前的 Amazon EMR 版本以及客户可能拥有的任何关联的运行实例,我们建议按照上述建议更新到最新的 Amazon Linux 内核。对于新集群,客户可以使用引导操作来更新 Linux 内核并重新启动每个实例。对于正在运行的集群,客户可以以滚动的方式方便地更新和重新启动集群中的每个实例。请注意,重新启动某些进程可能会影响集群中正在运行的应用程序。

RDS

RDS 托管的客户数据库实例每个都用于仅为单个客户运行数据库引擎,没有其他客户可访问的流程,并且客户无法在基础实例上运行代码。由于 AWS 已完成了对所有基础设施底层 RDS 的保护,因此此问题的流程到内核或流程到流程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前都报告没有已知的进程内问题。下面是其他特定于数据库引擎的详细信息,除非另有说明,否则客户无需采取任何操作。

对于用于 SQL Server 数据库实例的 RDS,我们发布了操作系统和引擎补丁,其中包含以下引擎版本的 Microsoft 补丁:

SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)

客户应查看 Microsoft 有关应用这些修补程序的指南,并在选择的时间应用它们:

https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

对于 RDS PostgreSQL 和 Aurora PostgreSQL,以默认配置运行的数据库实例目前不需要客户执行任何操作。如果补丁可用,我们将为 plv8 扩展用户提供适用的补丁。同时,启用了 plv8 扩展(默认情况下已禁用)的客户应考虑禁用它们,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。

目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户执行任何操作。

VMware Cloud on AWS

根据 VMware 的说法,“自 2017 年 12 月初开始,VMSA-2018-0002 中记录的修复已都已保存在 VMware Cloud on AWS 之上。”

有关更多详细信息,请参阅 VMware 安全性与合规性博客;有关更新状态,请参阅 https://status.vmware-services.io

WorkSpaces

对于在 Windows Server 2008 R2 运行 Windows 7 体验的客户:

Microsoft 针对此问题发布了适用于 Windows Server 2008 R2 的全新安全更新。如要成功交付这些更新,需要在服务器上运行兼容的防病毒软件,如 Microsoft 的安全更新所述:https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software。WorkSpaces 客户需要采取措施来获取这些更新。请按照 Microsoft 提供的说明进行操作:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。

对于在 Windows Server 2016 运行 Windows 10 体验的客户:

AWS 已将安全更新应用于在 Windows Server 2016 上运行Windows 10 体验的 WorkSpaces。Windows 10 内置了与这些安全更新兼容的 Windows Defender AntiVirus 软件。客户无需执行进一步操作。

对于 BYOL 和已更改默认更新设置的客户:

请注意,使用 WorkSpaces 自有许可 (BYOL) 功能的客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。如果这适用于您,请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。

更新的 WorkSpaces 捆绑包将随安全更新一起提供。创建自定义捆绑包的客户应更新其捆绑包,以包括自身安全更新。从捆绑包启动的任何没有更新的新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置或安装了不兼容的防病毒软件;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。

WorkSpaces Application Manager (WAM)

我们建议客户选择以下操作之一:

选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 更新。该页面提供了进一步的说明和相关下载。

选项 2:终止现有 Packager 和 Validator 实例。使用已更新且标记为“Amazon WAM Admin Studio 1.5.1”和“Amazon WAM Admin Player 1.5.1”的 AMI 启动新实例。