您当前查看的是此安全公告的较早版本。如需最新版本,请访问:“处理器推测执行研究披露”。
涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新时间:2018 年 1 月 17 日下午 12:00(太平洋标准时间)
这是对此问题的更新。
Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新内核。在 2018 年 1 月 13 日或之后使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新的软件包,该软件包提供了最新的、稳定的开源 Linux 安全改进,以解决内核中的 CVE-2017-5715 问题,并建立在之前包含的解决 CVE-2017-5754 问题的内核页表隔离 (KPTI) 之上。 客户必须升级到最新的 Amazon Linux 内核或 AMI,以在他们的实例中有效缓解 CVE-2017-5715 的进程到进程问题和 CVE-2017-5754 的进程到内核问题。有关更多信息,请参阅“处理器推测执行 – 操作系统更新”。
请参阅下文中有关半虚拟化 (PV) 实例的“PV 实例指南”信息。
Amazon EC2
Amazon EC2 队列中的所有实例都受到保护,不会受到 CVE-2017-5715、CVE-2017-5753 和 CVE-2017-5754 的所有已知实例到实例问题的影响。实例到实例问题假设非受信相邻实例可以读取其他实例或 AWS 管理程序的内存。AWS 管理程序已解决此问题,并且任何实例都无法读取其他实例的内存,任何实例也无法读取 AWS 管理程序内存。如前所述,对于绝大多数 EC2 工作负载,我们尚未发现有意义的性能影响。
我们已经发现了由 Intel 微代码更新引起的少量实例和应用程序崩溃,并正在与受影响的客户直接合作。我们刚刚在发现存在这些问题的 AWS 平台上对部分新的 Intel CPU 微代码完成了停用操作。此措施看上去缓解了这些实例的问题。Amazon EC2 队列中的所有实例仍受到保护,不会受到所有已知威胁载体的影响。禁用的 Intel 微代码提供了应对问题 CVE-2017-5715 的理论威胁载体的额外保护。我们预计,在 Intel 提供更新的微代码后,即可在不久的将来重新激活这些额外保护(以及我们一直致力的一些额外性能优化)。
适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作
尽管如上所述,所有客户实例都已受到保护,但我们仍建议客户修补其实例操作系统,以解决此问题的进程到进程或进程到内核问题。有关适用于 Amazon Linux 和 Amazon Linux 2、CentOS、Debian、Fedora、Microsoft Windows、Red Hat、SUSE 以及 Ubuntu 的更多指导和说明信息,请参阅“处理器推测执行 – 操作系统更新”。
PV 实例指南
经过对这一问题可用的操作系统补丁进行深入研究和详细分析之后,我们确定操作系统保护不足以解决半虚拟化 (PV) 实例中的进程到进程问题。尽管如上所述,AWS 管理程序保护 PV 实例免受任何实例到实例问题的影响,但是强烈建议关注 PV 实例内进程隔离(例如,处理不受信任的数据、运行不受信任的代码、托管不受信任的用户)的客户迁移到 HVM 实例类型,以获取长期安全利益。
有关 PV 和 HVM 之间差异(以及实例升级路径文档)的更多信息,请参阅:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
如果您在任何 PV 实例的升级途径方面需要帮助,请与支持部门联系。
其他 AWS 服务更新
以下需要修补代表客户托管的 EC2 实例的服务已完成所有工作,无需客户采取任何操作:
- Fargate
- Lambda
除非下文另有说明,否则所有其他 AWS 服务都无需客户采取操作。
ECS Optimized AMI
我们已经发布了 Amazon ECS Optimized AMI 版本 2017.09.f,其中包含针对此问题的所有 Amazon Linux 保护,包括上述第二个 Amazon Linux 内核更新。我们建议所有 Amazon ECS 客户升级到此最新版本(可从 AWS Marketplace 获得)。我们将不断改进已发布的 Amazon Linux 内核。
选择就地更新现有 ECS Optimized AMI 实例的客户应运行以下命令,以确保收到更新的软件包:
sudo yum update kernel
Linux 内核的任何更新都是标准的,在 yum 更新完成后,需要重新启动才能使更新生效。
我们不建议使用 ECS Optimized AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心。
我们已经发布了 Amazon ECS Optimized Windows AMI 版本 2018.01.10。有关如何将补丁应用于正在运行的实例的详细信息,请参阅“处理器推测执行 – 操作系统更新”。
Elastic Beanstalk
我们已经更新了所有基于 Linux 的平台,以包括针对此问题的所有 Amazon Linux 保护。有关具体平台版本,请参阅发行说明。我们建议 Elastic Beanstalk 客户将其环境更新为最新的可用平台版本。使用托管更新的环境将在配置的维护时段自动更新。
基于 Windows 的平台也已更新,以包括针对此问题的所有 EC2 Windows 保护。建议客户将其基于 Windows 的 Elastic Beanstalk 环境更新到最新的可用平台配置。
ElastiCache
ElastiCache 托管的客户缓存节点每个都用于仅为单个客户运行缓存引擎,没有其他客户可访问的进程,并且客户无法在基础实例上运行代码。由于 AWS 已经完成了对所有基础设施底层 ElastiCache 的保护,因此,此问题的进程到内核或进程到进程问题不会给客户带来风险。ElastiCache 支持的两个缓存引擎目前都报告没有已知的进程内问题。
EMR
Amazon EMR 代表客户在客户的账户中启动运行 Amazon Linux 的 Amazon EC2 实例集群。关注 Amazon EMR 集群实例中的进程隔离的客户应按照上述建议升级到最新的 Amazon Linux 内核。我们正在将最新的 Amazon Linux 内核添加到新的次要版本 5.11.x 系列和 4.9.x 系列中。客户可以使用这些版本创建新的 Amazon EMR 集群。这些版本发布后,我们将更新此公告。
对于当前的 Amazon EMR 版本以及客户可能拥有的任何关联的运行实例,我们建议按照上述建议更新到最新的 Amazon Linux 内核。对于新集群,客户可以使用引导操作来更新 Linux 内核并重新启动每个实例。对于正在运行的集群,客户可采用滚动方式推动集群中每个实例的 Linux 内核更新和重新启动。请注意,重新启动某些进程可能会影响集群中正在运行的应用程序。
RDS
RDS 托管的客户数据库实例每个都用于仅为单个客户运行数据库引擎,没有其他客户可访问的进程,并且客户也无法在基础实例上运行代码。由于 AWS 已完成了对所有基础设施底层 RDS 的保护,因此,此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前都报告没有已知的进程内问题。下面是其他特定于数据库引擎的详细信息,除非另有说明,否则客户无需采取任何操作。
对于 RDS for SQL Server 数据库实例,我们将发布 Microsoft 提供的每个操作系统和数据库引擎补丁,以便客户可以选择时间进行升级。任何一项完成后,我们将更新此公告。同时,启用了 CLR(默认情况下已禁用)的客户应在 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server 上查看 Microsoft 有关禁用 CLR 扩展的指南。
对于 RDS PostgreSQL 和 Aurora PostgreSQL,以默认配置运行的数据库实例目前不需要客户执行任何操作。如果补丁可用,我们将为 plv8 扩展用户提供适用的补丁。同时,启用了 plv8 扩展(默认情况下已禁用)的客户应考虑禁用它们,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。
目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户执行任何操作。
VMware Cloud on AWS
根据 VMware 的说法,“自 2017 年 12 月初开始,VMSA-2018-0002 中记录的修复已都已保存在 VMware Cloud on AWS 之上。”
有关更多详细信息,请参阅 VMware 安全性与合规性博客;有关更新状态,请参阅 https://status.vmware-services.io。
WorkSpaces
对于在 Windows Server 2008 R2 上运行 Windows 7 体验的客户:
Microsoft 针对此问题发布了适用于 Windows Server 2008 R2 的全新安全更新。如要成功交付这些更新,需要在服务器上运行兼容的防病毒软件,如 Microsoft 的安全更新所述:https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software。WorkSpaces 客户需要采取措施来获取这些更新。请按照 Microsoft 提供的说明进行操作:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
对于在 Windows Server 2016 上运行 Windows 10 体验的客户:
AWS 已将安全更新应用于在 Windows Server 2016 上运行 Windows 10 体验的 WorkSpaces。Windows 10 内置了与这些安全更新兼容的 Windows Defender 防病毒软件。客户无需执行进一步操作。
对于 BYOL 和已更改默认更新设置的客户:
请注意,使用 WorkSpaces 自有许可 (BYOL) 功能的客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。如果这适用于您,请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。
更新的 WorkSpaces 捆绑包将随安全更新一起提供。创建自定义捆绑包的客户应更新其捆绑包,以包括自身安全更新。从不包含更新的捆绑包启动的任何新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置或安装了不兼容的防病毒软件;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我们建议客户选择以下操作之一:
选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 更新。该页面提供了进一步的说明和相关下载。
选项 2:终止现有 Packager 和 Validator 实例。使用已更新且标记为“Amazon WAM Admin Studio 1.5.1”和“Amazon WAM Admin Player 1.5.1”的 AMI 启动新实例。