您当前查看的是此安全公告的较早版本。如需最新版本,请访问:“处理器推测执行研究披露”。
涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新时间:2018 年 1 月 23 日上午 11:30(太平洋标准时间)
这是对此问题的更新。
Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新内核。在 2018 年 1 月 13 日或之后使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新的软件包,该软件包提供了最新的、稳定的开源 Linux 安全改进,以解决内核中的 CVE-2017-5715 问题,并建立在之前包含的解决 CVE-2017-5754 问题的内核页表隔离 (KPTI) 之上。 客户必须升级到最新的 Amazon Linux 内核或 AMI,以在他们的实例中有效缓解 CVE-2017-5715 的进程到进程问题和 CVE-2017-5754 的进程到内核问题。有关更多信息,请参阅“处理器推测执行 – 操作系统更新”。
请参阅下文中有关半虚拟化 (PV) 实例的“PV 实例指南”信息。
Amazon EC2
Amazon EC2 队列中的所有实例都受到保护,不会受到 CVE-2017-5715、CVE-2017-5753 和 CVE-2017-5754 的所有已知实例到实例问题的影响。实例到实例问题假设非受信相邻实例可以读取其他实例或 AWS 管理程序的内存。AWS 管理程序已解决此问题,并且任何实例都无法读取其他实例的内存,任何实例也无法读取 AWS 管理程序内存。如前所述,对于绝大多数 EC2 工作负载,我们尚未发现有意义的性能影响。
我们已经发现了由 Intel 微代码更新引起的少量实例和应用程序崩溃,并正在与受影响的客户直接合作。我们刚刚在发现存在这些问题的 AWS 平台上对部分新的 Intel CPU 微代码完成了停用操作。此措施看上去缓解了这些实例的问题。Amazon EC2 队列中的所有实例仍受到保护,不会受到所有已知威胁载体的影响。禁用的 Intel 微代码提供了应对问题 CVE-2017-5715 的理论威胁载体的额外保护。我们预计,在 Intel 提供更新的微代码后,即可在不久的将来重新激活这些额外保护(以及我们一直致力的一些额外性能优化)。
适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作
尽管如上所述,所有客户实例都已受到保护,但我们仍建议客户修补其实例操作系统,以解决此问题的进程到进程或进程到内核问题。有关适用于 Amazon Linux 和 Amazon Linux 2、CentOS、Debian、Fedora、Microsoft Windows、Red Hat、SUSE 以及 Ubuntu 的更多指导和说明信息,请参阅“处理器推测执行 – 操作系统更新”。
PV 实例指南
经过对这一问题可用的操作系统补丁进行深入研究和详细分析之后,我们确定操作系统保护不足以解决半虚拟化 (PV) 实例中的进程到进程问题。尽管如上所述,AWS 管理程序保护 PV 实例免受任何实例到实例问题的影响,但是强烈建议关注 PV 实例内进程隔离(例如,处理不受信任的数据、运行不受信任的代码、托管不受信任的用户)的客户迁移到 HVM 实例类型,以获取长期安全利益。
有关 PV 和 HVM 之间差异(以及实例升级路径文档)的更多信息,请参阅:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
如果您在任何 PV 实例的升级途径方面需要帮助,请与支持部门联系。
其他 AWS 服务更新
以下需要修补代表客户托管的 EC2 实例的服务已完成所有工作,无需客户采取任何操作:
- Fargate
- Lambda
除非下文另有说明,否则所有其他 AWS 服务都无需客户采取操作。
ECS Optimized AMI
我们已经发布了 Amazon ECS Optimized AMI 版本 2017.09.g,其中包含针对此问题的所有 Amazon Linux 保护。我们建议所有 Amazon ECS 客户升级到此最新版本(可从 AWS Marketplace 获得)。
选择就地更新现有 ECS Optimized AMI 实例的客户应运行以下命令,以确保收到更新的软件包:
sudo yum update kernel
Linux 内核的任何更新都是标准的,在 yum 更新完成后,需要重新启动才能使更新生效。
我们不建议使用 ECS Optimized AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心。
我们已经发布了 Amazon ECS Optimized Windows AMI 版本 2018.01.10。有关如何将补丁应用于正在运行的实例的详细信息,请参阅“处理器推测执行 – 操作系统更新”。
Elastic Beanstalk
我们已经更新了所有基于 Linux 的平台,以包括针对此问题的所有 Amazon Linux 保护。有关具体平台版本,请参阅发行说明。我们建议 Elastic Beanstalk 客户将其环境更新为最新的可用平台版本。使用托管更新的环境将在配置的维护时段自动更新。
基于 Windows 的平台也已更新,以包括针对此问题的所有 EC2 Windows 保护。建议客户将其基于 Windows 的 Elastic Beanstalk 环境更新到最新的可用平台配置。
ElastiCache
ElastiCache 托管的客户缓存节点每个都用于仅为单个客户运行缓存引擎,没有其他客户可访问的进程,并且客户无法在基础实例上运行代码。由于 AWS 已经完成了对所有基础设施底层 ElastiCache 的保护,因此,此问题的进程到内核或进程到进程问题不会给客户带来风险。ElastiCache 支持的两个缓存引擎目前都报告没有已知的进程内问题。
EMR
Amazon EMR 代表客户在客户的账户中启动运行 Amazon Linux 的 Amazon EC2 实例集群。关注 Amazon EMR 集群实例中的进程隔离的客户应按照上述建议升级到最新的 Amazon Linux 内核。我们已将最新的 Amazon Linux 内核整合到新的次要版本 5.11.1、5.8.1、5.5.1 和 4.9.3 中。客户可以使用这些版本创建新的 Amazon EMR 集群。
对于当前的 Amazon EMR 版本以及客户可能拥有的任何关联的运行实例,我们建议按照上述建议更新到最新的 Amazon Linux 内核。对于新集群,客户可以使用引导操作来更新 Linux 内核并重新启动每个实例。对于正在运行的集群,客户可采用滚动方式推动集群中每个实例的 Linux 内核更新和重新启动。请注意,重新启动某些进程可能会影响集群中正在运行的应用程序。
RDS
RDS 托管的客户数据库实例每个都用于仅为单个客户运行数据库引擎,没有其他客户可访问的进程,并且客户也无法在基础实例上运行代码。由于 AWS 已完成了对所有基础设施底层 RDS 的保护,因此,此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前都报告没有已知的进程内问题。下面是其他特定于数据库引擎的详细信息,除非另有说明,否则客户无需采取任何操作。
对于 RDS for SQL Server 数据库实例,我们将发布 Microsoft 提供的每个操作系统和数据库引擎补丁,以便客户可以选择时间进行升级。任何一项完成后,我们将更新此公告。同时,启用了 CLR(默认情况下已禁用)的客户应在 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server 上查看 Microsoft 有关禁用 CLR 扩展的指南。
对于 RDS PostgreSQL 和 Aurora PostgreSQL,以默认配置运行的数据库实例目前不需要客户执行任何操作。如果补丁可用,我们将为 plv8 扩展用户提供适用的补丁。同时,启用了 plv8 扩展(默认情况下已禁用)的客户应考虑禁用它们,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。
目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户执行任何操作。
VMware Cloud on AWS
根据 VMware 的说法,“自 2017 年 12 月初开始,VMSA-2018-0002 中记录的修复已都已保存在 VMware Cloud on AWS 之上。”
有关更多详细信息,请参阅 VMware 安全性与合规性博客;有关更新状态,请参阅 https://status.vmware-services.io。
WorkSpaces
对于在 Windows Server 2008 R2 上运行 Windows 7 体验的客户:
Microsoft 针对此问题发布了适用于 Windows Server 2008 R2 的全新安全更新。如要成功交付这些更新,需要在服务器上运行兼容的防病毒软件,如 Microsoft 的安全更新所述:https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software。WorkSpaces 客户需要采取措施来获取这些更新。请按照 Microsoft 提供的说明进行操作:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
对于在 Windows Server 2016 上运行 Windows 10 体验的客户:
AWS 已将安全更新应用于在 Windows Server 2016 上运行 Windows 10 体验的 WorkSpaces。Windows 10 内置了与这些安全更新兼容的 Windows Defender 防病毒软件。客户无需执行进一步操作。
对于 BYOL 和已更改默认更新设置的客户:
请注意,使用 WorkSpaces 自有许可 (BYOL) 功能的客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。如果这适用于您,请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。
更新的 WorkSpaces 捆绑包将随安全更新一起提供。创建自定义捆绑包的客户应更新其捆绑包,以包括自身安全更新。从不包含更新的捆绑包启动的任何新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置或安装了不兼容的防病毒软件;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我们建议客户选择以下操作之一:
选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 更新。该页面提供了进一步的说明和相关下载。
选项 2:终止现有 Packager 和 Validator 实例。使用已更新且标记为“Amazon WAM Admin Studio 1.5.1”和“Amazon WAM Admin Player 1.5.1”的 AMI 启动新实例。