您查看的是此安全公告的较早版本。如需最新版本,请访问:“处理器推测执行研究披露”。
涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新时间:2018 年 1 月 8 日 14:25(太平洋标准时间)
本文提供有关此问题的最新信息。
Amazon EC2
Amazon EC2 队列中的所有实例都受到保护,不会受到上文所列 CVE 中的所有已知威胁载体影响。客户的实例受到保护,不会受到其他实例中的此类威胁影响。对于绝大多数 EC2 工作负载,我们尚未发现对性能造成了实质影响。
适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作
虽然所有客户实例都受到了保护,但我们仍建议客户修补其实例操作系统。这有助于强化这些操作系统提供的安全保护功能,隔离在同一实例中运行的软件。有关更多详细信息,请参阅有关补丁可用性和部署的具体供应商指南。
具体的供应商指南:
- Amazon Linux – 更多详细信息请参见下文。
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
对于未列出的操作系统,客户应咨询其操作系统或 AMI 供应商,获取相关更新和说明。
其他 AWS 服务更新
Amazon Linux AMI(公告 ID:ALAS-2018-939)
Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新版内核。在 2018 年 1 月 3 日晚上 10:45(格林尼治标准时间)或之后,使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新后的包。使用现有 Amazon Linux AMI 实例的客户应该运行以下命令,以确保收到更新后的包:
sudo yum update kernel
完成 yum 更新后,需要重启才能使更新生效。
有关此公告的更多信息,请访问 Amazon Linux AMI 安全中心。
EC2 Windows
我们已经更新了 AWS Windows AMI。现在,这些都可供客户使用,而且 AWS Windows AMI 已安装必要的补丁并启用了注册表项。
Microsoft 已为 Server 2008R2、2012R2 和 2016 提供了 Windows 补丁。可通过 Server 2016 的内置 Windows Update Service 获取这些补丁。我们正等待 Microsoft 推出适用于 Server 2003、2008SP2 和 2012RTM 的补丁,目前正在等待这方面的消息。
在 EC2 上运行 Windows 实例并启用了“自动更新”的 AWS 客户应运行自动更新,以下载并安装必要的 Windows 更新(如有)。
请注意,当前无法通过 Windows Update 获取 Server 2008R2 和 2012R2 补丁,这些补丁需要手动下载。Microsoft 发出公告称这些补丁将于 1 月 9 日(星期二)发布。
在 EC2 上运行 Windows 实例且未启用“自动更新”的 AWS 客户应按照以下说明手动安装必要的更新(如有):http://windows.microsoft.com/en-us/windows7/install-windows-updates。
请注意,对于 Windows Server,Microsoft 还需要采取其他措施才能针对此问题启用更新保护功能,如下所述:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
ECS Optimized AMI
我们已经发布了 Amazon ECS Optimized AMI 版本 2017.09.e,其中包含针对此问题的所有 Amazon Linux 保护功能。我们建议所有 Amazon ECS 客户升级到此最新版本(可在 AWS Marketplace 中获得)。选择就地更新现有实例的客户应在每个容器实例上运行以下命令:
sudo yum update kernel
需要重新启动容器实例才能完成更新
建议不使用 ECS Optimized AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 供应商,来获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心。
Microsoft 补丁发布后,更新版 Microsoft Windows EC2 和 ECS Optimized AMI 也会随之发布。
Elastic Beanstalk
我们已经更新了所有基于 Linux 的平台,以纳入有助于解决此问题的所有 Amazon Linux 原有保护功能。有关具体平台版本,请参阅发行说明。建议客户更新环境。使用托管更新的环境将在配置的维护时段自动更新。
Elastic Beanstalk 团队会继续努力推出 Windows 平台更新。建议使用基于 Windows 平台的 Elastic Beanstalk 客户按照本公告前文“EC2 Windows”部分中的说明手动安装可用的安全更新。
AWS Fargate
已按上文所述为所有运行 Fargate 任务的基础设施安装了补丁,客户无需采取任何措施。
Amazon FreeRTOS
无需更新 Amazon FreeRTOS 及其支持的 ARM 处理器,或无适用于 Amazon FreeRTOS 及其支持的 ARM 处理器的更新。
AWS Lambda
已按上文所述为所有运行 Lambda 函数的实例安装了补丁,客户无需采取任何措施。
RDS
每个 RDS 托管的客户数据库实例都用于仅为一位客户运行数据库引擎,没有其他客户可访问的进程,并且客户无法在底层实例上运行代码。由于 AWS 已建立了对所有基础设施底层 RDS 的保护,因此,此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前均未报告任何已知的进程内问题。下面还列出了另外一些与特定数据库引擎相关的详细信息,除非另有说明,否则客户无需采取任何措施。我们将在掌握更多信息后更新此公告。
目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户采取任何措施。
对于 RDS PostgreSQL 和 Aurora PostgreSQL,在默认配置下运行的数据库实例目前不需要客户采取任何措施。补丁可用后,我们将为 plv8 扩展用户提供适用的补丁。同时,启用了 plv8 扩展(默认情况下处于禁用状态)的客户应考虑禁用扩展,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。
对于 RDS for SQL Server 数据库实例,我们将发布 Microsoft 提供的每个操作系统和数据库引擎补丁,以便客户可以选择时间进行升级。完成相关工作后,我们将更新此公告。同时,启用了 CLR(默认情况下处于禁用状态)的客户应访问 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server,查看 Microsoft 针对禁用 CLR 扩展提供的指南。
VMware Cloud on AWS
请参阅此处的 VMware 安全公告,获取更多详细信息:https://www.vmware.com/security/advisories/VMSA-2018-0002.html。
WorkSpaces
本周末,AWS 会将 Microsoft 发布的安全更新应用于大多数 AWS WorkSpaces。在此期间,客户需要重新启动其 WorkSpaces。
自有许可 (BYOL) 客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。
请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。
更新后的 WorkSpaces 捆绑包将随安全更新一起提供。创建自定义捆绑包的客户应更新其捆绑包,以自行纳入安全更新。从捆绑包启动的任何没有更新的新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我们建议客户选择以下某项措施:
选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 补丁。该页面针对 Windows Server 提供了进一步说明和相关下载内容。
选项 2:通过更新后的 AMI for WAM Packager 和 AMI for Validator(将于 2018 年 1 月 4 日前提供)重新构建新的 WAM Packager 和 Validator EC2 实例。