Tentang: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Pembaruan Per: 05/03/2018 15.00 PST
Ini merupakan pembaruan untuk masalah ini.
Kernel yang diperbarui untuk Amazon Linux tersedia di dalam repositori Amazon Linux. Instans EC2 yang diluncurkan dengan konfigurasi Amazon Linux default pada atau setelah 13 Januari 2018 akan secara otomatis menyertakan paket yang diperbarui, yang menggabungkan peningkatan keamanan Linux sumber terbuka stabil terbaru untuk fokus pada CVE-2017-5715 di dalam kernel dan membangun dari Kernel Page Table Isolation (KPTI) yang digabung sebelumnya yang berfokus pada CVE-2017-5754. Pelanggan harus meningkatkan ke kernel Amazon Linux atau AMI terbaru untuk secara efektif memitigasi masalah proses ke proses pada CVE-2017-5715 dan masalah proses ke kernel pada CVE-2017-5754 di dalam instans mereka. See “Eksekusi Spekulatif Prosesor – Pembaruan Sistem Operasi” untuk informasi selengkapnya.
Lihat informasi “Panduan Instans PV” lebih lanjut di bawah terkait instans yang diparavirtualkan (PV).
Amazon EC2
Semua instans di seluruh armada Amazon EC2 dilindungi dari semua masalah instans ke instans pada CVE-2017-5715, CVE-2017-5753, dan CVE-2017-5754. Masalah instans ke instans menganggap instans berdekatan yang tidak tepercaya dapat membaca memori instans lainnya atau hypervisor AWS. Masalah ini telah diatasi untuk hypervisor AWS, dan tidak ada instans yang dapat membaca memori instans lainnya, begitu pula instans lainnya tidak dapat membaca memori hypervisor AWS. Seperti yang dinyatakan sebelumnya, kami belum mengamati dampak kinerja yang berarti untuk sebagian besar beban kerja EC2.
Per 12 Januari 2018, kami selesai melakukan deaktivasi sebagian dari kode mikro CPU Intel baru untuk platform di AWS di mana kami melihat crash dalam jumlah yang sedikit dan perilaku yang tidak dapat diprediksi lainnya yang disebabkan oleh pembaruan kode mikro Intel. Perubahan tersebut memitigasi masalah ini pada sejumlah kecil instans.
Tindakan Pelanggan yang Disarankan untuk AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, dan Amazon Lightsail
Meskipun semua instans pelanggan dilindungi seperti yang dijelaskan di atas, kami sarankan agar pelanggan melakukan patch pada sistem operasi instans mereka untuk mengatasi masalah proses ke proses atau proses ke kernel. Lihat “Eksekusi Spekulatif Prosesor – Pembaruan Sistem Operasi” untuk panduan dan instuksi lebih lanjut mengenai Amazon Linux & Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE, dan Ubuntu.
Panduan Instans PV
Setelah menjalankan riset dan analisis mendetail pada patch sistem operasi yang tersedia untuk masalah ini, telah kami putuskan bahwa perlindungan sistem operasi tidak mencukupi untuk mengatasi masalah proses ke proses di dalam instans yang diparavirtualkan (PV). Meskipun instans PV dilindungi oleh hypervisor AWS dari semua masalah instans ke instans seperti dijelaskan di atas, pelanggan yang khawatir dengan proses isolasi dalam instans PV (misalnya, memproses data tak dipercaya, menjalankan kode tak dipercaya, meng-host pengguna tak dipercaya), sangat direkomendasikan untuk bermigrasi ke jenis instans HVM demi manfaat keamanan dalam jangka lebih panjang.
Untuk informasi selengkapnya mengenai perbedaan antara PV dan HVM (serta dokumentasi jalur peningkatan instans), lihat:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Hubungi Dukungan jika Anda memerlukan bantuan mengenai jalur peningkatan untuk semua instans PV.
Pembaruan layanan AWS lainnya
Layanan berikut yang memerlukan patch pada instans EC2 yang dikelola atas nama pelanggan, telah menyelesaikan semua pekerjaan, dan tidak perlu dilakukan tindakan pelanggan:
- Fargate
- Lambda
Kecuali disebutkan lain di bawah ini, semua layanan AWS lainnya tidak memerlukan tindakan pelanggan.
AMI yang Dioptimalkan ECS
Kami telah merilis Amazon ECS AMI yang Dioptimalkan versi 2017.09.g yang menggabungkan semua perlindungan Amazon Linux untuk masalah ini. Kami sarankan agar semua pelanggan Amazon ECS meningkatkan ke versi terbaru ini yang tersedia di AWS Marketplace.
Pelanggan yang memilih untuk memperbarui instans AMI yang Dioptimalkan ECS yang ada harus menjalankan perintah berikut untuk memastikan mereka menerima paket yang diperbarui:
kernel pembaruan sudo yum
Demikian halnya standar untuk setiap pembaruan kernel Linux mana pun, setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.
Pelanggan Linux yang tidak menggunakan ECS AMI yang Dioptimalkan disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI alternatif/pihak ketiga untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan Amazon Linux AMI.
Kami telah merilis AMI Windows yang Dioptimalkan Amazon ECS versi 2018.01.10. Untuk detail mengenai cara menerapkan patch ke instans yang berjalan, lihat "Eksekusi Spekulatif Prosesor – Pembaruan Sistem Operasi".
Elastic Beanstalk
Kami telah memperbarui semua platform berbasis Linux untuk menyertakan semua perlindungan Amazon Linux untuk masalah ini. Lihat catatan rilis untuk versi platform tertentu. Kami menyarankan pelanggan Elastic Beanstalk untuk memperbarui lingkungannya ke versi platform terbaru yang tersedia. Lingkungan yang menggunakan Pembaruan Terkelola akan secara otomatis diperbarui selama jendela pemeliharaan yang dikonfigurasi.
Platform berbasis Windows juga akan diperbarui untuk menyertakan semua perlindungan Windows EC2 untuk masalah ini. Pelanggan disarankan untuk memperbarui lingkungan Elastics Beanstalk berbasis Windows mereka ke konfigurasi platform terbaru yang tersedia.
ElastiCache
Node cache pelanggan yang dikelola ElastiCache masing-masing khusus hanya untuk menjalankan mesin cache untuk satu pelanggan, tanpa proses yang dapat diakses pelanggan lain, dan pelanggan tidak bisa menjalankan kode pada instans yang mendasarinya. Karena AWS telah selesai melindungi semua infrastruktur yang mendasari ElastiCache, masalah proses ke kernel atau proses ke proses pada masalah ini tidak berisiko bagi pelanggan. Kedua mesin cache yang didukung ElastiCache melaporkan tidak ada masalah intraproses yang diidentifikasi saat ini.
EMR
Amazon EMR meluncurkan klaster instans Amazon EC2 yang menjalankan Amazon Linux atas nama pelanggan ke akun pelanggan. Pelanggan yang khawatir dengan proses isolasi di dalam instans pada klaster Amazon EMR harus meningkatkan ke kernel Amazon Linux terbaru seperti dianjurkan di atas. Kami telah menggabungkan kernel Amazon Linux ke rilis minor baru 5.11.1, 5.8.1, 5.5.1, dan 4.9.3. Pelanggan dapat membuat klaster Amazon EMR baru dengan rilis berikut.
Untuk rilis Amazon EMR saat ini dan semua instans terkait yang berjalan yang mungkin dimiliki pelanggan, kami menyarankan agar memperbarui ke kernel Amazon Linux seperti yang direkomendasikan di atas. Untuk klaster baru, pelanggan dapat menggunakan tindakan bootstrap untuk memperbarui kernel Linux dan me-reboot tiap instans. Untuk klaster yang berjalan, pelanggan dapat memfasilitasi pembaruan kernel Linux dan memulai ulang semua instans dalam klaster mereka secara bergulir. Perhatikan bahwa memulai ulang proses tertentu dapat berdampak pada aplikasi yang berjalan di dalam klaster.
RDS
Instans database pelanggan yang dikelola RDS masing-masing khusus hanya untuk menjalankan mesin database untuk satu pelanggan, tanpa proses yang dapat diakses pelanggan lain, dan pelanggan tidak bisa menjalankan kode pada instans yang mendasarinya. Karena AWS telah selesai melindungi semua infrastruktur yang mendasari RDS, masalah proses ke kernel atau proses ke proses pada masalah ini tidak berisiko bagi pelanggan. Sebagian besar mesin database yang didukung RDS telah melaporkan tidak ada masalah intraproses yang diidentifikasi saat ini. Detail khusus mesin database tambahan terdapat di bawah, dan kecuali dinyatakan lain, tidak ada tindakan pelanggan yang diperlukan.
Pada RDS untuk Instans Database SQL Server, kami telah merilis OS dan patch mesin berisi patch Microsoft pada versi mesin berikut:
SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)
Pelanggan harus meninjau panduan Microsoft tentang penggunaan patch ini dan menerapkannya pada waktu yang mereka pilih:
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
Untuk RDS PostgreSQL dan Aurora PostgreSQL, Instans DB yang berjalan pada konfigurasi default saat ini tidak memiliki tindakan yang diperlukan untuk pelanggan. Kami akan memberikan patch yang sesuai bagi pengguna ekstensi plv8 setelah tersedia. Sementara itu, pelanggan yang telah mengaktifkan ekstensi plv8 (nonaktif secara default) perlu mempertimbangkan untuk menonaktifkannya dan meninjau panduan V8 di https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
RDS untuk MariaDB, RDS untuk MySQL, Aurora MySQL, dan RDS untuk instans database Oracle saat ini tidak memerlukan tindakan pelanggan.
VMware Cloud on AWS
Per VMware, “Perbaikan seperti yang didokumentasikan di VMSA-2018-0002, sudah hadir di VMware Cloud on AWS sejak awal Desember 2017.”
Lihat Blog Keamanan & Kepatuhan VMware untuk detail selengkapnya dan https://status.vmware-services.io untuk status yang diperbarui.
WorkSpaces
Untuk pengalaman Windows 7 pada pelanggan Windows Server 2008 R2:
Microsoft telah merilis pembaruan keamanan baru pada Windows Server 2008 R2 untuk masalah ini. Keberhasilan pengiriman pembaruan ini membutuhkan perangkat lunak Antivirus kompatibel yang berjalan pada server seperti diuraikan di pembaruan keamanan oleh Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Pelanggan WorkSpaces perlu mengambil tindakan untuk mendapatkan pembaruan ini. Ikuti instruksi yang diberikan oleh Microsoft di: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Untuk pengalaman Windows 10 pada pelanggan Windows Server 2016:
AWS telah menerapkan pembaruan keamanan pada WorkSpaces yang menjalankan pengalaman Windows 10 pada Windows Server 2016. Windows 10 telah membuat perangkat lunak AntiVirus Windows Defender yang kompatibel dengan pembaruan keamanan ini. Tidak memerlukan tindakan pelanggan lebih lanjut.
Untuk BYOL dan pelanggan dengan pengaturan pembaruan default yang dimodifikasi:
Perhatikan bahwa pelanggan yang menggunakan fitur Bring Your Own License (BYOL) WorkSpaces, dan pelanggan yang mengubah pengaturan pembaruan default di WorkSpaces harus menerapkan secara manual pembaruan keamanan yang diberikan oleh Microsoft. Jika ini berlaku untuk Anda, ikuti instruksi yang diberikan oleh petunjuk keamanan Microsoft di https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Petunjuk keamanan menyertakan tautan ke artikel basis pengetahuan untuk sistem operasi Klien dan Windows Server yang memberikan informasi lebih spesifik.
Bundel WorkSpaces yang diperbarui akan segera tersedia dengan pembaruan keamanan. Pelanggan yang telah membuat Bundel Kustom harus memperbarui bundel tersebut untuk menyertakan pembaruan keamanan itu sendiri. Semua WorkSpaces baru yang diluncurkan dari bundel yang tidak memiliki pembaruan akan menerima patch segera setelah peluncuran, kecuali pelanggan telah mengubah pengaturan pembaruan default pada WorkSpaces atau menginstal perangkat lunak antivirus yang tidak kompatibel, dalam hal ini urutan langkah di atas harus diikuti untuk menerapkan secara manual pembaruan keamanan yang diberikan oleh Microsoft.
WorkSpaces Application Manager (WAM)
Kami menyarankan agar pelanggan memilih salah satu dari tindakan berikut:
Opsi 1: Terapkan pembaruan Microsoft secara manual pada instans WAM Packager dan Validator yang berjalan dengan mengikuti langkah-langkah yang diberikan oleh Microsoft di https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . Halaman ini memberikan instruksi lebih lanjut dan unduhan yang relevan.
Opsi 2: Hentikan instans Packager and Validator yang sudah ada. Luncurkan instans baru menggunakan AMI yang diperbarui yang dilabeli "Amazon WAM Admin Studio 1.5.1" dan "Amazon WAM Admin Player 1.5.1".