太平洋夏令时 2018 年 8 月 16 日下午 2:45
CVE 标识符:CVE-2018-3620、CVE-2018-3646
Intel 发布了有关新的侧信道分析方法的安全公告 (INTEL-SA-00161),其中涉及称为“L1 终端故障”(L1TF) 的处理器。AWS 设计并实施了针对这些攻击类型进行保护的基础设施,并且还对 L1TF 部署了额外保护。所有的 EC2 主机基础设施均更新了这些新的保护功能,且客户无需采取任何基础设施级别的操作。
Amazon Linux AMI 2017.09 (ALAS-2018-1058)、Amazon Linux AMI 2018.03 (ALAS-2018-1058) 和 Amazon Linux 2 (ALAS-2018-1058) 的更新后内核在各自的存储库中提供。作为通行的安全最佳实践,我们建议客户在相关的补丁程序可用时安装操作系统或软件补丁程序,以解决新出现的侧信道问题。
我们发布了新版本的 Amazon Linux 和 Amazon Linux 2 AMI,其中自动包含了更新后的内核。包含更新后内核的映像的 AMI ID 可在 Amazon Linux 2018.03 AMI ID、Amazon Linux 2 AMI ID 和 AWS Systems Manager 参数仓库中查找。
同时,当使用不同的安全权限执行工作负载时,我们建议使用 EC2 实例的更强安全和隔离属性,而不是依赖操作系统处理边界或容器。