Veröffentlichung: 11.06.2024, 10:30 Uhr PDT
AWS wurde ein Problem mit dem VM-Import/Export-Service (VMIE) von Amazon Elastic Compute Cloud (Amazon EC2) gemeldet. Am 12. April 2024 haben wir dieses Problem behoben und können bestätigen, dass neue Windows-Betriebssystemimporte nicht betroffen sind.
Kunden, die mit dem EC2-VMIE-Service eine virtuelle Maschine unter Windows importieren, können optional ihre eigene Sysprep-Antwortdatei verwenden. Vor dem 12. April 2024 bestand beim EC2-VMIE-Service folgendes Problem: Wenn ein Kunde unter Windows eine virtuelle Maschine importierte, um sie als AMI oder Instance zu verwenden, wurde eine identische Sicherungskopie der Antwortdatei erstellt, ohne dass darin enthaltene vertrauliche Daten entfernt wurden. Auf diese Sicherungsdatei können nur Windows-Instance-Benutzer zugreifen, die Zugriffsrechte auf die vom Kunden bereitgestellte Antwortdatei hatten.
Kunden, die den EC2-VMIE-Service auf diese Weise verwendet haben, empfehlen wir, an den folgenden mit Sysprep verknüpften Speicherorten nach einem Dateinamen zu suchen, der mit „.vmimport“ endet:
- C:\
- C:\Windows\Panther\
- C:\Windows\Panther\Unattend\
- C:\Windows\system32\
- C:\Windows\system32\sysprep\Panther\Unattend\
Sobald Sie die .vmimport-Datei identifiziert haben, beschränken Sie den Zugriff auf die erforderlichen Benutzerkonten oder entfernen Sie die Sicherungsdatei vollständig aus den importierten EC2-Instances oder den Instances, die von einem betroffenen AMI gestartet wurden. Diese Aktionen haben keinen Einfluss auf die Funktionalität der EC2-Instance. Da dieses Problem neue EC2-Instances betrifft, die von einem betroffenen AMI gestartet wurden, empfehlen wir Kunden, das betroffene AMI zu löschen und mithilfe des EC2-VMIE-Service ein neues AMI zu erstellen. Anschließend kann die virtuelle Maschine erneut importiert werden. Alternativ kann mit der EC2/API-Konsole ein neues AMI aus einer EC2-Instance erstellt werden, bei der das Problem behoben wurde.
Für Benutzer, die den Zugriff auf die Sysprep-Antwortdatei eingeschränkt hatten, bevor sie den EC2-VMIE-Service zum Importieren des Windows-Betriebssystems verwendet haben, sind keine Maßnahmen erforderlich. Dasselbe gilt für Benutzer, die den EC2-VMIE-Service nach dem 12. April 2024 verwendet haben, um Windows-Betriebssysteme mit/ohne Sysprep-Antwortdatei in eine AWS-Region zu importieren.
Wir danken Immersive Labs für die verantwortungsbewusste Meldung dieses Problems an AWS.
Bei Fragen oder Bedenken zum Thema Sicherheit schreiben Sie uns an aws-security@amazon.com.