您查看的是此安全公告的较早版本。如需最新版本,请访问:“处理器推测执行研究披露”。
涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新时间:2018 年 1 月 5 日 21:00(太平洋标准时间)
这是针对此问题的更新。
Amazon EC2
Amazon EC2 队列中的所有实例都受到保护,不会受到上文列出的 CVE 的所有已知威胁向量的影响。客户的实例受到保护,不会受到来自其他实例的此类威胁的影响。对于绝大多数 EC2 工作负载,我们尚未发现有意义的性能影响。
适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作
虽然所有客户实例都已受到保护,但我们仍建议客户修补其实例操作系统。这将增强这些操作系统所提供的保护,隔离在同一实例中运行的软件。有关更多详细信息,请参阅有关补丁可用性和部署的具体的供应商指南。
具体的供应商指南:
- Amazon Linux – 更多详细信息请参见下文。
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
对于未列出的操作系统,客户应咨询其操作系统或 AMI 供应商以获取更新和说明。
其他 AWS 服务更新
Amazon Linux AMI(公告 ID:ALAS-2018-939)
Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新内核。在 2018 年 1 月 3 日晚上 10:45(格林尼治标准时间)或之后使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新的软件包。使用现有 Amazon Linux AMI 实例的客户应该运行以下命令,以确保收到更新的软件包:
sudo yum update kernel
完成 yum 更新后,需要重启以使更新生效。
有关此公告的更多信息,请访问 Amazon Linux AMI 安全中心。
EC2 Windows
我们正在更新默认的 Windows Server AMI,并将在其可用时更新此公告。
ECS Optimized AMI
我们已经发布了 Amazon ECS Optimized AMI 版本 2017.09.e,其中包含针对此问题的所有 Amazon Linux 保护。我们建议所有 Amazon ECS 客户通过 AWS Marketplace 升级到最新版本。选择就地更新现有实例的客户应该在每个容器实例上运行以下命令:
sudo yum update kernel
需要重启容器实例以完成更新
建议未使用 ECS Optimized AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心。
Microsoft 补丁发布后,更新的 Microsoft Windows EC2 和 ECS Optimized AMI 会随之发布。
Elastic Beanstalk
我们将在 48 小时内发布新平台版本,其中包含可解决此问题的内核更新。对于 Linux 环境,我们建议您启用“托管平台更新”,以便在这些更新发布后,立即在您选择的维护时段内自动更新。我们将在更新推出后发布针对 Windows 环境的说明。
AWS Fargate
所有运行 Fargate 任务的基础设施都已按照上述说明进行修补,客户无需执行任何操作。
Amazon FreeRTOS
Amazon FreeRTOS 及其支持的 ARM 处理器无需更新,或无适用的更新。
AWS Lambda
所有运行 Lambda 函数的实例都已按照上述说明进行修补,客户无需执行任何操作。
RDS
RDS 托管的每个客户数据库实例都专用于仅为单个客户运行数据库引擎,客户无法访问任何其他进程,并且无法在基础实例上运行代码。由于 AWS 已完成了对所有基础设施底层 RDS 的保护,因此此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前均未报告任何已知的进程内问题。下面是其他特定于数据库引擎的详细信息,除非另有说明,否则客户无需采取任何操作。我们将在获得更多信息时更新此公告。
目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户执行任何操作。
对于 RDS PostgreSQL 和 Aurora PostgreSQL,以默认配置运行的数据库实例目前不需要客户执行任何操作。如果有适用的补丁,我们将为 plv8 扩展的用户提供。同时,启用了 plv8 扩展(默认情况下处于禁用状态)的客户应考虑禁用它们,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。
对于 RDS for SQL Server 数据库实例,我们将在 Microsoft 发布后随之发布操作系统和数据库引擎补丁,以便客户可以在选择的时间进行升级。我们将在任何一项完成后更新此公告。同时,启用了 CLR(默认情况下处于禁用状态)的客户应在 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server 上查看 Microsoft 有关禁用 CLR 扩展的指南。
VMware Cloud on AWS
有关更多详细信息,请参阅此处的 VMware 安全公告:https://www.vmware.com/security/advisories/VMSA-2018-0002.html。
WorkSpaces
在本周末,AWS 会将 Microsoft 发布的安全更新应用于大多数 AWS WorkSpaces。在此期间,客户需要重启其 WorkSpaces。
自有许可 (BYOL) 客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。
请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。
更新的 WorkSpaces 捆绑包即将随安全更新一起提供。创建自定义捆绑包的客户应更新其捆绑包,以包括安全更新本身。从捆绑包启动的任何没有更新的新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我们建议客户选择以下操作之一:
选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 补丁。该页面针对 Windows Server 提供了进一步说明和相关下载。
选项 2:通过日终(2018 年 1 月 4 日)时提供的适用于 WAM Packager 和 Validator 的更新 AMI,重新构建新的 WAM Packager 和 Validator EC2 实例。