处理器推测执行研究披露 (v11)

您当前查看的是此安全公告的较早版本。如需最新版本,请访问:“处理器推测执行研究披露”。

相关内容:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

更新时间:2018 年 1 月 12 日 17:00(太平洋标准时间)

这是针对此问题的更新。

Amazon Linux 的第二个内核版本已发布,该版本解决了 KPTI 错误并改进了 CVE-2017-5754 的缓解措施。客户必须升级到最新的 Amazon Linux 内核或 AMI,以有效缓解其实例内的 CVE-2017-5754 进程到进程问题。请参阅下文的“Amazon Linux AMI”,了解更多信息。 

请参阅下文中有关半虚拟化 (PV) 实例的“PV 实例指南”信息。

Amazon EC2

Amazon EC2 队列中的所有实例均受到保护,不会受到前述 CVE 的所有已知实例到实例问题的影响。实例到实例问题假设不可信相邻实例可以读取另一个实例或 AWS 管理程序的内存。AWS 管理程序已解决此问题,并且任何实例都无法读取其他实例的内存,也无法读取 AWS 管理程序内存。如我们之前所述,对于绝大多数 EC2 工作负载,我们尚未发现有实质性的性能影响。

我们已经发现了由 Intel 微码更新引起的少量实例和应用程序崩溃问题,并正在与受影响的客户直接合作。我们刚刚在发现这些问题的 AWS 平台中停用了部分新的 Intel CPU 微码。这一操作似乎缓解了此类实例的问题。Amazon EC2 队列中的所有实例仍然受到保护,不会受到所有已知威胁向量的影响。禁用的 Intel 微码针对问题 CVE-2017-5715 的理论威胁向量提供了额外保护。我们预计,在 Intel 提供更新的微码后,即可在不久的将来重新激活这些额外保护(以及我们一直致力实现的一些额外性能优化)。

针对 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 推荐的客户操作

尽管如上所述,所有客户实例都已受到保护,但我们仍建议客户修补他们的实例操作系统,以隔离在同一实例内运行的软件,并缓解 CVE-2017-5754 的进程到进程问题。有关更多详细信息,请参阅有关补丁可用性和部署的具体供应商指南。

具体的供应商指南:

对于未列出的操作系统,客户应咨询其操作系统或 AMI 供应商,获取更新和说明。

PV 实例指南

经过对这一问题可用的操作系统补丁进行深入研究和详细分析之后,我们确定操作系统保护不足以解决半虚拟化 (PV) 实例中的进程到进程问题。尽管如上所述,AWS 管理程序会保护 PV 实例免受任何实例到实例问题的影响,但是强烈建议那些注重 PV 实例内进程隔离(例如,处理不可信数据、运行不可信代码、托管不可信用户)的客户迁移到 HVM 实例类型,以获得更长期的安全优势。

有关 PV 和 HVM 之间的差异(以及实例升级路径文档)的更多信息,请参阅:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

如果您在任何 PV 实例的升级途径方面需要帮助,请与支持部门联系。

其他 AWS 服务更新

以下需要修补代表客户托管的 EC2 实例的服务已完成所有工作,无需客户采取任何操作:

  • Fargate
  • Lambda

除非下文另有说明,否则其他所有 AWS 服务都无需客户执行操作。

Amazon Linux AMI(公告 ID:ALAS-2018-939

Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新内核。在 2018 年 1 月 8 日或之后使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新版软件包,该软件包解决了 KPTI 错误并改进了 CVE-2017-5754 的缓解措施。

注意:客户必须升级到最新的 Amazon Linux 内核或 AMI,才能有效缓解其实例内的 CVE-2017-5754 问题。我们将继续提供 Amazon Linux 改进和更新的 Amazon Linux AMI;并整合开源 Linux 社区贡献以解决此问题。

如果客户使用的是当前版本的 Amazon Linux AMI 实例,则应该运行以下命令,以确保收到更新版软件包:

sudo yum update kernel

与 Linux 内核的任何更新一样,完成 yum 更新后,需要重启才能使更新生效。

有关此公告的更多信息,请访问 Amazon Linux AMI 安全中心

对于 Amazon Linux 2,请遵循上述关于 Amazon Linux 的说明。

EC2 Windows

我们已经更新 AWS Windows AMI。现在,这些 AMI 均可供客户使用,而且 AWS Windows AMI 已安装必要的补丁并启用了注册表项。

Microsoft 已提供适用于 Server 2008R2、2012R2 和 2016 的 Windows 补丁。客户可通过 Server 2016 的内置 Windows Update 服务获取这些补丁。我们正在等待 Microsoft 推出适用于 Server 2003、2008SP2 和 2012RTM 的补丁。

在 EC2 上运行 Windows 实例并已启用“自动更新”的 AWS 客户应运行自动更新,以下载并安装必要的 Windows 更新(如果有)。

请注意,当前无法通过 Windows Update 获取 Server 2008R2 和 2012R2 补丁,需要手动下载。Microsoft 之前发布公告,表示这些补丁将于 1 月 9 日(星期二)发布,但是我们仍在等待关于这些补丁的发布信息。

在 EC2 上运行 Windows 实例且未启用“自动更新”的 AWS 客户应按照以下网址中的说明执行操作,在必要更新发布后手动安装:http://windows.microsoft.com/en-us/windows7/install-windows-updates

请注意,对于 Windows Server,Microsoft 需要采取额外步骤,才能启用针对此问题的更新保护功能,如下所述:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

ECS 优化型 AMI

我们已发布 Amazon ECS 优化型 AMI 版本 2017.09.f,其中包含针对此问题的所有 Amazon Linux 保护,包括上文提及的第二个 Amazon Linux 内核更新。我们建议所有 Amazon ECS 客户升级到此最新版本(可在 AWS Marketplace 中获得)。如果 Amazon Linux 有新的改进,我们会陆续将其纳入。

如果客户选择更新现有的 ECS 优化型 AMI 实例,则应该运行以下命令,以确保收到更新的软件包:

sudo yum update kernel

与 Linux 内核的任何更新一样,完成 yum 更新后,需要重启才能使更新生效。

我们建议不使用 ECS 优化型 AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心

我们目前正在更新 Amazon ECS 优化型 Windows AMI,待可用之时我们会更新此公告。Microsoft 已提供适用于 Server 2016 的 Windows 补丁。有关如何将补丁应用于正在运行的实例的详细信息,请访问 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Elastic Beanstalk

我们已经更新所有基于 Linux 的平台,以包括针对此问题的所有 Amazon Linux 保护措施。有关具体的平台版本,请参阅发行说明。我们建议 Elastic Beanstalk 客户将其环境更新为最新的可用平台版本。使用托管更新的环境将在配置的维护时段自动更新。

基于 Windows 的平台也已更新,以包括针对此问题的所有 EC2 Windows 保护措施。建议客户将其基于 Windows 的 Elastic Beanstalk 环境更新为最新的可用平台配置。

EMR

Amazon EMR 会代表客户在客户的账户中启动运行 Amazon Linux 的 Amazon EC2 实例的集群。如果客户注重其 Amazon EMR 集群实例内的进程隔离,则应该按照上述建议升级到最新的 Amazon Linux 内核。我们正在将最新的 Amazon Linux 内核添加到新的次要版本 5.11.x 分支和 4.9.x 分支。客户可以使用这些版本创建新的 Amazon EMR 集群。这些版本发布后,我们将更新此公告。

对于当前的 Amazon EMR 版本以及客户可能拥有的任何关联的运行实例,我们建议按照上述建议更新到最新的 Amazon Linux 内核。对于新集群,客户可以使用引导操作来更新 Linux 内核并重新启动每个实例。对于正在运行的集群,客户可以通过滚动方式轻松更新集群内每个实例的 Linux 内核并针对每个实例重新进行启动。请注意,重新启动某些进程可能会影响集群中正在运行的应用程序。

RDS

RDS 托管的客户数据库实例每个都用于仅为单个客户运行数据库引擎,没有其他客户可访问的进程,并且客户也无法在基础实例上运行代码。由于 AWS 已对所有基础设施底层 RDS 实施保护,因此此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前都报告没有已知的进程内问题。下面是其他特定于数据库引擎的详细信息,除非另有说明,否则客户无需执行任何操作。如果有更多信息,我们将更新此公告。

对于 RDS for SQL Server 数据库实例,我们将发布 Microsoft 提供的每个操作系统和数据库引擎补丁,以便客户可以选择时间进行升级。任何一项完成后,我们将更新此公告。同时,启用了 CLR(默认情况下处于禁用状态)的客户应在 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server 上查看 Microsoft 有关禁用 CLR 扩展的指南。

对于 RDS PostgreSQL 和 Aurora PostgreSQL,以默认配置运行的数据库实例目前不需要客户执行任何操作。如果补丁可用,我们将为 plv8 扩展用户提供适用的补丁。同时,启用了 plv8 扩展(默认情况下已禁用)的客户应考虑禁用这些扩展,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。

目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户执行任何操作。

VMware Cloud on AWS

VMware 称,“自 2017 年 12 月初开始,VMSA-2018-0002 中记录的修复都已保存在 VMware Cloud on AWS 中。”

有关更多详细信息,请参阅 VMware 安全性与合规性博客;有关更新状态,请访问 https://status.vmware-services.io

WorkSpaces

AWS 将于下周末将 Microsoft 发布的安全更新应用于大多数 AWS WorkSpaces。在此期间,客户需要重新启动其 WorkSpaces。

自有许可 (BYOL) 客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。

请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。

更新的 WorkSpaces 捆绑包将很快随安全更新一起提供。如果客户已创建自定义捆绑包,则应该自行更新其捆绑包,以包括安全更新。从捆绑包启动的任何没有更新的新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置。如果客户更改了设置,则应该按照上述步骤手动应用 Microsoft 提供的安全更新。

WorkSpaces Application Manager (WAM)

我们建议客户选择以下任一操作:

选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 补丁。该页面针对 Windows Server 提供了进一步说明和相关下载。

选项 2:通过更新的 WAM Packager 和 Validator 的 AMI(将于 2018 年 1 月 4 日前提供)重新构建新的 WAM Packager 和 Validator EC2 实例。