Date de publication : 11/06/2024, 10 h 30 (heure du Pacifique)
AWS a connaissance d’un problème relatif au service VM Import/Export (VMIE) d’Amazon Elastic Compute Cloud (Amazon EC2). Le 12 avril 2024, nous avons résolu ce problème et nous pouvons confirmer que les nouvelles importations de systèmes d’exploitation Windows ne sont pas affectées.
Les clients qui utilisent le service VMIE d’EC2 pour importer une machine virtuelle à l’aide du système d’exploitation Windows peuvent éventuellement recourir à leur propre fichier de réponse Sysprep. Avant le 12 avril 2024, le service VMIE d’EC2 rencontrait un problème. Si un client importait une machine virtuelle à l’aide du système d’exploitation Windows afin de l’utiliser comme AMI ou comme instance, une copie de sauvegarde identique du fichier de réponse était créée sans que les données sensibles éventuellement incluses dans le fichier soient supprimées. Ce fichier de sauvegarde n’était accessible qu’aux utilisateurs Windows sur instance autorisés à accéder au fichier de réponse fourni par le client.
Pour les clients qui ont utilisé le service VMIE d’EC2 de cette manière, nous recommandons de rechercher un nom de fichier se terminant par .vmimport aux emplacements suivants, associés à Sysprep :
- C:\
- C:\Windows\Panther\
- C:\Windows\Panther\Unattend\
- C:\Windows\system32\
- C:\Windows\system32\sysprep\Panther\Unattend\
Une fois que vous avez identifié le fichier .vmimport, limitez l’accès aux comptes utilisateurs nécessaires ou supprimez complètement le fichier de sauvegarde sur les instances EC2 importées ou lancées à partir d’une AMI affectée. L’exécution de l’une ou l’autre de ces actions n’affecte pas les fonctionnalités de l’instance EC2. Les nouvelles instances EC2 lancées à l’aide d’une AMI affectée sont impactées par ce problème. Par conséquent, nous recommandons aux clients de supprimer l’AMI affectée et de créer une nouvelle AMI à l’aide du service VM Import/Export (VMIE) d’EC2 afin de réimporter la machine virtuelle, ou d’utiliser l’API/la console EC2 pour créer une nouvelle AMI à partir de l’instance EC2 sur laquelle le correctif a été appliqué.
Aucune action n’est requise pour les utilisateurs qui avaient limité l’accès au fichier de réponse Sysprep avant d’utiliser le service VMIE d’EC2 pour importer le système d’exploitation Windows, ou qui ont utilisé le service VMIE d’EC2 après le 12 avril 2024 pour importer le système d’exploitation Windows avec ou sans fichier de réponse Sysprep dans n’importe quelle région AWS.
Nous remercions Immersive Labs d’avoir informé AWS de ce problème.
Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention à l’adresse aws-security@amazon.com.