发布日期:2024 年 6 月 11 日上午 10:30(太平洋夏令时)
AWS 注意到 Amazon Elastic Compute Cloud(Amazon EC2)虚拟机导入导出服务(VMIE)存在问题。2024 年 4 月 12 日,我们解决了这个问题,可以确认新的 Windows 操作系统导入不受影响。
使用 EC2 VMIE 服务通过 Windows 操作系统导入虚拟机时,客户可以选择使用自己的 Sysprep 答案文件。2024 年 4 月 12 日之前,EC2 VMIE 服务遇到了一个问题:如果客户使用 Windows 操作系统导入虚拟机作为 AMI 或实例使用,则将创建答案文件的相同备份副本,而不会移除文件中包含的敏感数据。只有有权访问客户提供的答案文件的实例 Windows 用户才能访问此备份文件。
对于以这种方式使用 EC2 VMIE 服务的客户,我们建议在与 Sysprep 相关的以下位置检查以 .vmimport 结尾的文件名:
- C:\
- C:\Windows\Panther\
- C:\Windows\Panther\Unattend\
- C:\Windows\system32\
- C:\Windows\system32\sysprep\Panther\Unattend\
确定 .vmimport 文件后,限制对必要用户账户的访问权限,或完全移除导入的 EC2 实例或从受影响的 AMI 启动的实例上的备份文件。完成上述任一操作都不会影响 EC2 实例的功能。由于使用受影响的 AMI 启动的新 EC2 实例将受到此问题的影响,因此我们建议客户删除受影响的 AMI 并使用 EC2 虚拟机导入导出(VMIE)服务创建新的 AMI 以重新导入虚拟机,或者使用 EC2 API/控制台从已应用修复的 EC2 实例创建新的 AMI。
对于在使用 EC2 VMIE 服务导入 Windows 操作系统之前限制了 Sysprep 答案文件的访问权限,或在 2024 年 4 月 12 日之后使用 EC2 VMIE 服务在任何 AWS 区域导入带有/不带 Sysprep 答案文件的 Windows 操作系统的用户,无需执行任何操作。
我们非常感谢 Immersive Labs 负责任地向 AWS 披露了此问题。
如有安全相关问题或疑虑,请通过 aws-security@amazon.com 与我们联系。