您查看的是此安全公告的较早版本。如需最新版本,请访问:“处理器推测执行研究披露”。
涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新时间:2018 年 1 月 9 日 19:10(太平洋标准时间)
本文提供有关此问题的最新信息。
适用于 Amazon Linux 的第二个内核版本已发布,该版本解决了 KPTI 错误并改进了 CVE-2017-5754 的缓解措施。客户必须升级到最新的 Amazon Linux 内核或 AMI,才能有效缓解其实例内的 CVE-2017-5754 进程到进程问题。请参阅下面的“Amazon Linux AMI”信息。
请参阅下文中有关半虚拟化 (PV) 实例的“PV 实例指南”信息。
Amazon EC2
Amazon EC2 队列中的所有实例都受到保护,不会受到上文所列 CVE 的所有已知实例到实例问题影响。实例到实例问题假设不受信任的相邻实例可以读取其他实例或 AWS 管理程序的内存。AWS 管理程序已解决此问题,并且任何实例都无法读取其他实例或 AWS 管理程序的内存。对于绝大多数 EC2 工作负载,我们尚未发现对性能造成了实质影响。
适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作
尽管如上所述,所有客户实例都受到了保护,但我们仍建议客户修补其实例操作系统,以隔离在同一实例中运行的软件,并缓解 CVE-2017-5754 的进程到进程问题。有关更多详细信息,请参阅有关补丁可用性和部署的具体供应商指南。
具体的供应商指南:
- Amazon Linux – 更多详细信息请参见下文。
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
对于未列出的操作系统,客户应咨询其操作系统或 AMI 供应商,获取相关更新和说明。
PV 实例指南
经过对这一问题可用的操作系统补丁进行深入研究和详细分析之后,我们确定操作系统保护不足以解决半虚拟化 (PV) 实例中的进程到进程问题。尽管如上所述,AWS 管理程序保护 PV 实例免受任何实例到实例问题的影响,但是强烈建议关注 PV 实例内流程隔离(例如,处理不受信任的数据、运行不受信任的代码、托管不受信任的用户)的客户迁移到 HVM 实例类型,获得长期安全优势。
有关 PV 和 HVM 之间差异(以及实例升级路径文档)的更多信息,请参阅:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
如果您在任何 PV 实例的升级路径方面需要帮助,请与支持部门联系。
其他 AWS 服务更新
以下需要修补代表客户托管的 EC2 实例的服务已完成所有工作,无需客户采取任何措施:
- Fargate
- Lambda
除非下文另有说明,否则所有其他 AWS 服务都无需客户采取措施。
Amazon Linux AMI(公告 ID:ALAS-2018-939)
Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新版内核。在 2018 年 1 月 8 日或之后,使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新后的包,该包解决了 KPTI 错误并改善了 CVE-2017-5754 的缓解措施。
注意:客户必须升级到最新的 Amazon Linux 内核或 AMI,才能有效缓解其实例中的 CVE-2017-5754 问题。我们将继续提供 Amazon Linux 改进和更新后的 Amazon Linux AMI;并整合开源 Linux 社区贡献内容中有助于解决此问题的功能(如有)。
使用现有 Amazon Linux AMI 实例的客户应该运行以下命令,以确保收到更新后的包:
sudo yum update kernel
与 Linux 内核的任何更新一样,完成 yum 更新后,需要重启才能使更新生效。
有关此公告的更多信息,请访问 Amazon Linux AMI 安全中心。
对于 Amazon Linux 2,请遵循上述有关 Amazon Linux 的说明。
EC2 Windows
我们已经更新了 AWS Windows AMI。现在,这些都可供客户使用,而且 AWS Windows AMI 已安装必要的补丁并启用了注册表项。
Microsoft 已为 Server 2008R2、2012R2 和 2016 提供了 Windows 补丁。可通过 Server 2016 的内置 Windows Update Service 获取这些补丁。我们正等待 Microsoft 推出适用于 Server 2003、2008SP2 和 2012RTM 的补丁,目前正在等待这方面的消息。
在 EC2 上运行 Windows 实例并启用了“自动更新”的 AWS 客户应运行自动更新,以下载并安装必要的 Windows 更新(如有)。
请注意,当前无法通过 Windows Update 获取 Server 2008R2 和 2012R2 补丁,这些补丁需要手动下载。Microsoft 之前曾宣称这些补丁将在 1 月 9 日(星期二)发布,但是我们仍在等待正式推出消息。
在 EC2 上运行 Windows 实例且未启用“自动更新”的 AWS 客户应按照以下说明手动安装必要的更新(如有):http://windows.microsoft.com/en-us/windows7/install-windows-updates。
请注意,对于 Windows Server,Microsoft 还需要采取其他措施才能针对此问题启用更新保护功能,如下所述:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
ECS Optimized AMI
我们已经发布了 Amazon ECS Optimized AMI 版本 2017.09.f,其中包含针对此问题的所有 Amazon Linux 保护功能,包括上述第二个 Amazon Linux 内核更新。我们建议所有 Amazon ECS 客户升级到此最新版本(可在 AWS Marketplace 中获得)。我们会不断整合最新的 Amazon Linux 改进。
选择更新现有 ECS Optimized AMI 实例的客户应运行以下命令,以确保收到更新后的包:
sudo yum update kernel
与 Linux 内核的任何更新一样,完成 yum 更新后,需要重启才能使更新生效。
建议不使用 ECS Optimized AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 供应商,来获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心。
我们正在更新经 Amazon ECS 优化的 Windows AMI,并将在更新推出后更新此公告。Microsoft 已为 Server 2016 提供了 Windows 补丁。如需详细了解如何将补丁应用于正在运行的实例,请参阅 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
Elastic Beanstalk
我们已经更新了所有基于 Linux 的平台,以纳入有助于解决此问题的所有 Amazon Linux 原有保护功能。有关具体平台版本,请参阅发行说明。建议客户更新环境。使用托管更新的环境将在配置的维护时段自动更新。
我们正在纳入上述第二项 Amazon Linux 内核更新。当新平台版本可用时,我们将更新此公告。
Elastic Beanstalk 团队会继续努力推出 Windows 平台更新。同时,建议使用基于 Windows 平台的 Elastic Beanstalk 客户按照本公告前文“EC2 Windows”部分中的说明手动安装可用的安全更新。
RDS
每个 RDS 托管的客户数据库实例都用于仅为一位客户运行数据库引擎,没有其他客户可访问的进程,并且客户无法在底层实例上运行代码。由于 AWS 已建立了对所有基础设施底层 RDS 的保护,因此,此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前均未报告任何已知的进程内问题。下面还列出了另外一些与特定数据库引擎相关的详细信息,除非另有说明,否则客户无需采取任何措施。我们将在掌握更多信息后更新此公告。
对于 RDS for SQL Server 数据库实例,我们将发布 Microsoft 提供的每个操作系统和数据库引擎补丁,以便客户可以选择时间进行升级。完成相关工作后,我们将更新此公告。同时,启用了 CLR(默认情况下处于禁用状态)的客户应访问 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server,查看 Microsoft 针对禁用 CLR 扩展提供的指南。
对于 RDS PostgreSQL 和 Aurora PostgreSQL,在默认配置下运行的数据库实例目前不需要客户采取任何措施。补丁可用后,我们将为 plv8 扩展用户提供适用的补丁。同时,启用了 plv8 扩展(默认情况下处于禁用状态)的客户应考虑禁用扩展,并查看 V8 指南 (https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。
目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户采取任何措施。
VMware Cloud on AWS
根据 VMware 的说法,“自 2017 年 12 月初开始,VMSA-2018-0002 中记录的修复已都已保存在 VMware Cloud on AWS 中。”
有关更多详细信息,请参阅 VMware 安全性与合规性博客;有关更新状态,请访问 https://status.vmware-services.io。
WorkSpaces
本周末,AWS 会将 Microsoft 发布的安全更新应用于大多数 AWS WorkSpaces。在此期间,客户需要重新启动其 WorkSpaces。
自有许可 (BYOL) 客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。
请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。
更新后的 WorkSpaces 捆绑包将随安全更新一起提供。创建自定义捆绑包的客户应更新其捆绑包,以自行纳入安全更新。从捆绑包启动的任何没有更新的新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我们建议客户选择以下某项措施:
选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 补丁。该页面针对 Windows Server 提供了进一步说明和相关下载内容。
选项 2:通过更新后的 AMI for WAM Packager 和 AMI for Validator(将于 2018 年 1 月 4 日前提供)重新构建新的 WAM Packager 和 Validator EC2 实例。