处理器推测执行研究披露 (v6)

您查看的是此安全公告的较早版本。如需最新版本,请访问:“处理器推测执行研究披露”。

涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

更新时间:2018 年 1 月 7 日 11:30(太平洋标准时间)

这是针对此问题的更新。

Amazon EC2

Amazon EC2 队列中的所有实例都受到保护,不会受到上文列出的 CVE 的所有已知威胁向量的影响。客户的实例受到保护,不会受到来自其他实例的此类威胁的影响。对于绝大多数 EC2 工作负载,我们尚未发现有意义的性能影响。

适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作

虽然所有客户实例都已受到保护,但我们仍建议客户修补其实例操作系统。这将增强这些操作系统所提供的保护,隔离在同一实例中运行的软件。有关更多详细信息,请参阅有关补丁可用性和部署的具体的供应商指南。

具体的供应商指南:

对于未列出的操作系统,客户应咨询其操作系统或 AMI 供应商以获取更新和说明。

其他 AWS 服务更新

Amazon Linux AMI(公告 ID:ALAS-2018-939

Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新内核。在 2018 年 1 月 3 日晚上 10:45(格林尼治标准时间)或之后使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新的软件包。使用现有 Amazon Linux AMI 实例的客户应该运行以下命令,以确保收到更新的软件包:

sudo yum update kernel

完成 yum 更新后,需要重启以使更新生效。

有关此公告的更多信息,请访问 Amazon Linux AMI 安全中心

EC2 Windows

我们已经更新了 AWS Windows AMI。现在,这些都可供客户使用,而且 AWS Windows AMI 已安装必要的补丁程序并启用了注册表项。

Microsoft 已为 Server 2008R2、2012R2 和 2016 提供了 Windows 补丁程序。可通过 Server 2016 的内置 Windows Update Service 获取这些补丁程序。我们正在等待 Microsoft 提供 Server 2003、2008SP2 和 2012RTM 的补丁程序可用性信息。

在 EC2 上运行 Windows 实例并启用了“自动更新”的 AWS 客户应运行自动更新,以下载并安装必要的 Windows 更新(如果有)。

请注意,当前无法通过 Windows Update 获取 Server 2008R2 和 2012R2 补丁程序,需要手动下载。Microsoft 发布公告表示这些补丁程序将于 1 月 9 日(星期二)发布。

在 EC2 上运行 Windows 实例且未启用“自动更新”的 AWS 客户应按照此以下网址的说明执行操作,在必要更新发布后手动安装。 http://windows.microsoft.com/en-us/windows7/install-windows-updates.

请注意,对于 Windows Server,Microsoft 需要采取附加步骤才能启用针对此问题的更新保护功能,如下所述:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

ECS Optimized AMI

我们已经发布了 Amazon ECS Optimized AMI 版本 2017.09.e,其中包含针对此问题的所有 Amazon Linux 保护。我们建议所有 Amazon ECS 客户通过 AWS Marketplace 升级到最新版本。选择就地更新现有实例的客户应该在每个容器实例上运行以下命令:

sudo yum update kernel

需要重启容器实例以完成更新

建议未使用 ECS Optimized AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心

Microsoft 补丁发布后,更新的 Microsoft Windows EC2 和 ECS Optimized AMI 会随之发布。

Elastic Beanstalk

我们将在 48 小时内发布新平台版本,其中包含可解决此问题的内核更新。对于 Linux 环境,我们建议您启用“托管平台更新”,以便在这些更新发布后,立即在您选择的维护时段内自动更新。我们将在更新推出后发布针对 Windows 环境的说明。 

AWS Fargate

所有运行 Fargate 任务的基础设施都已按照上述说明进行修补,客户无需执行任何操作。

Amazon FreeRTOS

Amazon FreeRTOS 及其支持的 ARM 处理器无需更新,或无适用的更新。

AWS Lambda

所有运行 Lambda 函数的实例都已按照上述说明进行修补,客户无需执行任何操作。

RDS

RDS 托管的每个客户数据库实例都专用于仅为单个客户运行数据库引擎,客户无法访问任何其他进程,并且无法在基础实例上运行代码。由于 AWS 已完成了对所有基础设施底层 RDS 的保护,因此此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前均未报告任何已知的进程内问题。下面是其他特定于数据库引擎的详细信息,除非另有说明,否则客户无需采取任何操作。我们将在获得更多信息时更新此公告。

目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户执行任何操作。

对于 RDS PostgreSQL 和 Aurora PostgreSQL,以默认配置运行的数据库实例目前不需要客户执行任何操作。如果有适用的补丁,我们将为 plv8 扩展的用户提供。同时,启用了 plv8 扩展(默认情况下处于禁用状态)的客户应考虑禁用它们,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。

对于 RDS for SQL Server 数据库实例,我们将在 Microsoft 发布后随之发布操作系统和数据库引擎补丁,以便客户可以在选择的时间进行升级。我们将在任何一项完成后更新此公告。同时,启用了 CLR(默认情况下处于禁用状态)的客户应在 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server 上查看 Microsoft 有关禁用 CLR 扩展的指南。

VMware Cloud on AWS

有关更多详细信息,请参阅此处的 VMware 安全公告:https://www.vmware.com/security/advisories/VMSA-2018-0002.html

WorkSpaces

在本周末,AWS 会将 Microsoft 发布的安全更新应用于大多数 AWS WorkSpaces。在此期间,客户需要重启其 WorkSpaces。

自有许可 (BYOL) 客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。

请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。

更新的 WorkSpaces 捆绑包即将随安全更新一起提供。创建自定义捆绑包的客户应更新其捆绑包,以包括安全更新本身。从捆绑包启动的任何没有更新的新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。

WorkSpaces Application Manager (WAM)

我们建议客户选择以下操作之一:

选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 补丁。该页面针对 Windows Server 提供了进一步说明和相关下载。

选项 2:通过日终(2018 年 1 月 4 日)时提供的适用于 WAM Packager 和 Validator 的更新 AMI,重新构建新的 WAM Packager 和 Validator EC2 实例。