您查看的是此安全公告的较早版本。要查看最新版本,请访问:“Linux 内核 TCP SACK 拒绝服务问题”。
2019 年 6 月 17 日上午 10:00(太平洋夏令时)
CVE 标识符:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479
AWS 已经意识到最近披露的三个问题,这些问题会影响 Linux 内核的 TCP 处理子系统。具体来说,恶意 TCP 客户端或服务器会传输一系列精心设计的数据包,这些数据包可能导致任何受攻击的连接系统的 Linux 内核发生崩溃并重启。
AWS 的底层系统和基础设施受到保护,不会出现这些问题。除下面列出的 AWS 服务外,客户不需要为缓解这些问题可能造成的任何拒绝服务 (DoS) 问题而采取任何措施。
Amazon Elastic Compute Cloud (EC2)
如果客户基于 Linux 的 EC2 实例发起与互联网等不受信任方的 TCP 连接或直接接收来自它们的 TCP 连接,则需要安装操作系统补丁,以缓解这些问题可能造成的任何 DoS 问题。注意:使用 Amazon Elastic Load Balancing (ELB) 的客户应查看下面的“Elastic Load Balancing (ELB)”信息,获取更多指导。
Amazon Linux AMI 和 Amazon Linux 2 AMI
我们很快就会推出更新版 Amazon Linux AMI。当更新版可用时,我们将更新此公告。
您现在即可在 Amazon Linux 存储库内获取适用于 Amazon Linux AMI 和 Amazon Linux 2 的更新版内核。如果客户目前有运行 Amazon Linux 的 EC2 实例,则应在运行 Amazon Linux 的每个 EC2 实例中运行以下命令,以确保收到更新后的包:
sudo yum update kernel
与 Linux 内核的任何更新一样,完成 yum 更新后,需要重启才能使更新生效。
我们很快会通过 Amazon Linux 安全中心提供更多信息。
Elastic Load Balancing (ELB)
网络负载平衡器 (NLB) 不会筛选流量。使用 NLB、基于 Linux 的 EC2 实例需要安装操作系统补丁,以缓解这些问题可能造成的任何 DoS 问题。适用于 Amazon Linux 的更新版内核现已可用,并且上文说明了如何更新当前正在运行 Amazon Linux 的 EC2 实例。未使用 Amazon Linux 的客户应联系其操作系统供应商,以获取缓解任何潜在 DoS 问题所需的任何更新或说明。
如果基于 Linux 的 EC2 实例使用 Elastic Load Balancing (ELB) Classic Load Balancer 和 Application Load Balancer,则不需要客户采取任何措施。ELB Classic 和 ALB 将会筛选传入的流量,以缓解这些问题可能造成的任何 DoS 问题。
Amazon WorkSpaces (Linux)
所有新的 Amazon Linux WorkSpaces 都将随更新版内核一起推出。现有的 Amazon Linux WorkSpaces 已安装适用于 Amazon Linux 2 的更新版内核。
与 Linux 内核的任何更新一样,需要重启才能使更新生效。我们建议客户尽快手动重启。否则,Amazon Linux WorkSpaces 将在 6 月 18 日凌晨 12:00 到凌晨 4:00(当地时间)之间自动重启。
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
当前正在运行的所有 Amazon EKS 集群都受到保护,不会出现这些问题。Amazon EKS 在 2019 年 6 月 17 日发布了更新版经 EKS 优化的 Amazon 系统映像 (AMI),这些映像包含已修补的 Amazon Linux 2 内核。有关经 EKS 优化的 AMI 的更多信息,请参阅 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html。
我们建议 EKS 客户更换所有工作线程节点,以使用最新的经 EKS 优化的 AMI 版本。有关更新工作线程节点的说明,请参阅 https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html。
AWS Elastic Beanstalk
AWS Elastic Beanstalk 基于 Linux 的平台将于 2019 年 6 月 17 日推出更新版本。当新平台版本可用时,我们将更新此公告。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本,无需采取任何其他措施。此外,使用托管平台更新的客户也可以在早于所选维护时段的时间独立应用可用的更新,方法是转到“托管更新”配置页面并单击“立即应用”按钮。
未启用托管平台更新的客户必须按照以上说明更新其环境的平台版本。有关托管平台更新的更多信息,请参阅 https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache 会在客户 VPC 中启动运行 Amazon Linux 的 Amazon EC2 实例集群。默认情况下,这些集群不接受不受信任的 TCP 连接,因此不受这些问题的影响。
如果客户更改了默认的 ElastiCache VPC 配置,则应将 ElastiCache 安全组配置为阻止来自不受信任的客户端的网络流量(以缓解任何潜在的 DoS 问题),从而确保这些安全组遵循 AWS 建议的安全最佳实践。 有关 ElastiCache VPC 配置的更多信息,请参阅 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html。
如果客户在其 VPC 外部运行 ElastiCache 集群,并且更改了默认配置,则应使用 ElastiCache 安全组配置受信任的访问。 有关创建 ElastiCache 安全组的更多信息,请参阅 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ElastiCache 团队很快将会发布用于解决这些问题的新补丁。此补丁发布后,我们将通知客户可以应用此补丁。然后,客户可以选择使用 ElastiCache 自助更新功能来更新集群。有关 ElastiCache 自助式补丁更新的更多信息,请参阅 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html。
Amazon EMR
Amazon EMR 会代表客户在客户的 VPC 中启动运行 Amazon Linux 的 Amazon EC2 实例集群。默认情况下,这些集群不接受不受信任的 TCP 连接,因此不受这些问题的影响。
如果客户更改了默认的 EMR VPC 配置,则应确保 EMR 安全组遵循 AWS 建议的安全最佳实践,并且阻止来自不受信任的客户端的网络流量,以缓解任何潜在的 DoS 问题。有关 EMR 安全组的更多信息,请参阅 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html。
如果客户选择不按照 AWS 建议的安全最佳实践来配置 EMR 安全组,或者需要安装操作系统补丁来遵循任何其他安全政策,则可以按照以下说明来更新新的或现有的 EMR 集群,以缓解这些问题。注意:这些更新将需要重启集群实例,并可能影响正在运行的应用程序。客户仅应在认为有必要重启集群时才这样做:
如果是新集群,请使用 EMR 引导操作来更新 Linux 内核并重启每个实例。有关 EMR 引导操作的更多信息,请参阅 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
对于现有集群,请以滚动方式更新集群中每个实例上的 Linux 内核,然后重启实例。