Anda melihat versi sebelumnya dari buletin keamanan ini. Untuk versi terbaru saat ini, kunjungi: "Pengungkapan Riset Eksekusi Spekulatif Prosesor".

Tentang: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Pembaruan Per: 12/01/2018 Pukul 17.00 PST

Ini merupakan pembaruan untuk masalah ini.

Rilis kernel kedua untuk Amazon Linux telah tersedia, yang mengatasi bug KPTI dan meningkatkan mitigasi untuk CVE-2017-5754. Pelanggan harus meningkatkan ke AMI atau kernel Amazon Linux terbaru untuk secara efektif memitigasi masalah proses ke proses pada CVE-2017-5754 dalam instans mereka. Baca informasi “AMI Amazon Linux” lebih lanjut di bawah.  

Lihat informasi “Panduan Instans PV” lebih lanjut di bawah terkait instans yang diparavirtualkan (PV).

Amazon EC2

Semua instans di seluruh armada Amazon EC2 dilindungi dari semua masalah instans ke instans yang diketahui pada CVE yang tercantum sebelumnya. Masalah instans ke instans menganggap instans berdekatan yang tidak tepercaya dapat membaca memori instans lainnya atau hypervisor AWS. Masalah ini telah diatasi untuk hypervisor AWS, dan tidak ada instans yang dapat membaca memori instans lainnya, begitu pula instans lainnya tidak dapat membaca memori hypervisor AWS. Seperti kami telah kami sebutkan, kami belum mengamati dampak kinerja yang berarti untuk sebagian besar beban kerja EC2.

Sejumlah kecil instans dan kerusakan aplikasi karena pembaruan mikrokode Intel telah teridentifikasi, dan kami sedang bekerja sama langsung dengan pelanggan yang terpengaruh. Kami baru saja menyelesaikan penonaktifan berbagai bagian dari mikrokode CPU Intel baru untuk platform di AWS di mana kami melihat masalah ini. Ini tampaknya telah mengurangi masalah untuk instans ini. Semua instans di seluruh armada Amazon EC2 tetap dilindungi dari semua vektor ancaman yang dikenal. Mikrokode Intel yang dinonaktifkan memberikan perlindungan tambahan terhadap vektor ancaman teoretis dari masalah CVE-2017-5715. Kami akan aktifkan kembali perlindungan tambahan ini (berikut beberapa optimasi performa lainnya yang telah kami kerjakan) dalam waktu dekat setelah Intel memberikan mikrokode yang diperbarui.

Tindakan Pelanggan yang Disarankan untuk AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, dan Amazon Lightsail

Meskipun semua instans pelanggan dilindungi seperti yang dijelaskan di atas, kami menyarankan agar pelanggan melakukan patch pada sistemm operasi instans mereka untuk mengisolasi perangkat lunak yang berjalan di dalam instans yang sama dan memitigasi masalah proses ke proses pada CVE-2017-5754. Untuk detail selengkapnya, lihat panduan vendor khusus mengenai penerapan dan ketersediaan patch.

Panduan vendor khusus:

Untuk sistem operasi yang tidak tercantum, pelanggan harus menghubungi vendor AMI atau sistem operasi mereka untuk pembaruan dan instruksi.

Panduan Instans PV

Setelah menjalankan riset dan analisis mendetail pada patch sistem operasi yang tersedia untuk masalah ini, telah kami putuskan bahwa perlindungan sistem operasi tidak mencukupi untuk mengatasi masalah proses ke proses di dalam instans yang diparavirtualkan (PV). Meskipun instans PV dilindungi oleh hypervisor AWS dari semua masalah instans ke instans seperti dijelaskan di atas, pelanggan yang khawatir dengan proses isolasi dalam instans PV (misalnya, memproses data tak dipercaya, menjalankan kode tak dipercaya, meng-host pengguna tak dipercaya), sangat direkomendasikan untuk bermigrasi ke jenis instans HVM demi manfaat keamanan dalam jangka lebih panjang.

Untuk informasi selengkapnya mengenai perbedaan antara PV dan HVM (serta dokumentasi jalur peningkatan instans), lihat:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Harap hubungi Support jika Anda memerlukan bantuan dengan jalur peningkatan untuk instans PV apa pun.

Pembaruan layanan AWS lainnya

Layanan berikut yang memerlukan patch pada instans EC2 yang dikelola atas nama pelanggan, telah menyelesaikan semua pekerjaan, dan tidak perlu dilakukan tindakan pelanggan:

  • Fargate
  • Lambda

Kecuali disebutkan lain di bawah ini, semua layanan AWS lainnya tidak memerlukan tindakan pelanggan.

AMI Amazon Linux (ID Buletin: ALAS-2018-939)

Kernel yang diperbarui untuk Amazon Linux tersedia di dalam repositori Amazon Linux. Instans EC2 yang diluncurkan dengan konfigurasi Amazon Linux default pada atau setelah 8 Januari 2018 akan secara otomatis menyertakan paket yang diperbarui, yang mengatasi bug KPTI dan meningkatkan mitigasi untuk CVE-2017-5754.

CATATAN: Pelanggan harus meningkatkan ke AMI atau kernel Amazon Linux terbaru untuk secara efektif memitigasi CVE-2017-5754 dalam instans mereka. Kami akan terus memberikan peningkatan Amazon Linux dan AMI Amazon Linux yang diperbarui; menggabungkan kontribusi komunitas Linux sumber terbuka yang membahas masalah ini ketika sudah tersedia.

Pelanggan dengan instans AMI Amazon Linux harus menjalankan perintah berikut untuk memastikan bahwa mereka menerima paket pembaruan:

kernel pembaruan sudo yum

Seperti standar untuk pembaruan kernel Linux mana pun, setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.

Informasi selengkapnya pada buletin ini tersedia di Pusat Keamanan AMI Amazon Linux.

Untuk Amazon Linux 2, ikuti petunjuk untuk Amazon Linux yang dijelaskan di atas.

EC2 Windows

Kami telah memperbarui AMI Windows AWS. AMI Windows AWS kini dapat digunakan pelanggan, dan memiliki patch penting yang diinstal dan kunci registri yang diaktifkan.

Microsoft telah memberikan patch Windows untuk Server 2008R2, 2012R2, dan 2016. Patch tersedia dalam Layanan Windows Update bawaan untuk Server 2016. Kami menunggu informasi dari Microsoft mengenai ketersediaan patch untuk Server 2003, 2008SP2, dan 2012RTM.

Pelanggan AWS yang menjalankan instans Windows pada EC2 yang mengaktifkan "Pembaruan Otomatis" harus menjalankan pembaruan otomatis untuk mengunduh dan menginstal pembaruan yang diperlukan untuk Windows ketika tersedia.

Perhatikan bahwa patch Server 2008R2 dan 2012R2 saat ini tidak tersedia melalui Windows Update yang memerlukan unduhan manual. Sebelumnya Microsoft menyarankan agar patch ini tersedia pada hari Selasa, 9 Januari meskipun kami masih menunda informasi mengenai ketersediaannya.

Pelanggan AWS yang menjalankan instans Windows pada EC2 yang tidak mengaktifkan “Pembaruan Otomatis” harus menginstal pembaruan yang diperlukan secara manual ketika tersedia dengan mengikuti petunjuk di sini: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Perhatikan bahwa, untuk Windows Server, langkah-langkah tambahan diperlukan oleh Microsoft untuk mengaktifkan fitur perlindungan pembaruan untuk masalah ini, dijelaskan di sini: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

ECS AMI yang Dioptimalkan

Kami telah merilis Amazon ECS AMI yang Dioptimalkan versi 2017.09.g yang menggabungkan semua perlindungan Amazon Linux untuk masalah ini, termasuk perbaruan kernel Amazon Linux kedua tersebut di atas. Kami menyarankan agar semua pelanggan Amazon ECS meningkatkan ke versi terbaru ini yang tersedia di AWS Marketplace. Kami akan terus menyertakan berbagai perbaikan Amazon Linux begitu telah tersedia.

Pelanggan yang memilih untuk memperbarui instans ECS AMI yang Dioptimalkan yang ada harus menjalankan perintah berikut untuk memastikan mereka menerima paket yang diperbarui:

kernel pembaruan sudo yum

Demikian halnya standar untuk setiap pembaruan kernel Linux mana pun, setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.

Pelanggan Linux yang tidak menggunakan ECS AMI yang Dioptimalkan disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI alternatif/pihak ketiga untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan AMI Amazon Linux.

Kami sedang memperbarui Amazon ECS AMI Windows yang Dioptimalkan, dan kami akan memperbarui buletin ini ketika tersedia. Microsoft telah memberikan patch Windows untuk Server 2016. Untuk detail mengenai cara menerapkan patch untuk menjalankan instans, lihat https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Elastic Beanstalk

Kami telah memperbarui semua platform berbasis Linux untuk menyertakan semua perlindungan Amazon Linux untuk masalah ini. Lihat catatan rilis untuk versi platform tertentu. Kami menyarankan pelanggan Elastic Beanstalk untuk memperbarui lingkungannya ke versi platform terbaru yang tersedia. Lingkungan yang menggunakan Pembaruan Terkelola akan secara otomatis diperbarui selama jendela pemeliharaan yang dikonfigurasi.

Platform berbasis Windows juga akan diperbarui untuk menyertakan semua perlindungan Windows EC2 untuk masalah ini. Pelanggan disarankan untuk memperbarui lingkungan Elastics Beanstalk berbasis Windows mereka ke konfigurasi platform terbaru yang tersedia.

EMR

Amazon EMR meluncurkan klaster instans Amazon EC2 yang menjalankan Amazon Linux atas nama pelanggan ke akun pelanggan. Pelanggan yang khawatir dengan proses isolasi di dalam instans pada klaster Amazon EMR harus meningkatkan ke kernel Amazon Linux terbaru seperti dianjurkan di atas. Kami sedang dalam proses memasukkan kernel Amazon Linux terbaru ke rilis minor baru pada cabang 5.11.x dan cabang 4.9.x. Pelanggan akan dapat membuat klaster Amazon EMR baru dengan rilis berikut. Buletin ini akan diperbarui bila berbagai rilis ini telah tersedia.

Untuk rilis Amazon EMR saat ini dan semua instans terkait yang sedang berjalan dan mungkin dimiliki pelanggan, kami menyarankan agar memperbarui ke kernel Amazon Linux seperti yang direkomendasikan di atas. Untuk klaster baru, pelanggan dapat menggunakan tindakan bootstrap untuk memperbarui kernel Linux dan me-reboot tiap instans. Untuk klaster yang berjalan, pelanggan dapat memfasilitasi pembaruan kernel Linux dan memulai ulang semua instans dalam klaster mereka secara bergulir. Perhatikan bahwa memulai ulang proses tertentu dapat berdampak pada aplikasi yang berjalan di dalam klaster.

RDS

Instans database pelanggan yang dikelola RDS masing-masing khusus hanya untuk menjalankan mesin database untuk satu pelanggan, tanpa proses yang dapat diakses pelanggan lain, dan pelanggan tidak bisa menjalankan kode pada instans yang mendasarinya. Karena AWS telah selesai melindungi semua infrastruktur yang mendasari RDS, masalah proses ke kernel atau proses ke proses pada masalah ini tidak berisiko bagi pelanggan. Sebagian besar mesin database yang didukung RDS telah melaporkan tidak ada masalah intraproses yang diidentifikasi saat ini. Detail khusus mesin database tambahan terdapat di bawah, dan kecuali dinyatakan lain, tidak ada tindakan pelanggan yang diperlukan. Kami akan memperbarui buletin ini saat informasi selengkapnya tersedia.

Untuk RDS untuk Instans Database SQL Server, kami akan merilis patch mesin OS dan database jika masing-masing telah tersedia dari Microsoft, sehingga pelanggan dapat memutakhirkan pada waktu yang mereka pilih. Buletin ini akan diperbarui setelah salah satunya selesai. Sementara itu, pelanggan yang telah mengaktifkan CLR (nonaktif secara default) harus meninjau panduan Microsoft tentang penonaktifan ekstensi CLR di https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

Untuk RDS PostgreSQL dan Aurora PostgreSQL, Instans DB yang berjalan pada konfigurasi default saat ini tidak memerlukan tindakan pelanggan. Kami akan memberikan patch yang sesuai bagi pengguna ekstensi plv8 setelah tersedia. Sementara itu, pelanggan yang telah mengaktifkan ekstensi plv8 (nonaktif secara default) perlu mempertimbangkan untuk menonaktifkannya dan meninjau panduan V8 di https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

RDS untuk MariaDB, RDS untuk MySQL, Aurora MySQL, dan RDS untuk instans database Oracle saat ini tidak memerlukan tindakan pelanggan.

VMware Cloud on AWS

Per VMware, “Perbaikan seperti yang didokumentasikan di VMSA-2018-0002, sudah ada di VMware Cloud on AWS sejak awal Desember 2017.”

Baca Blog Keamanan & Kepatuhan VMware untuk detail selengkapnya dan https://status.vmware-services.io untuk status yang diperbarui.

WorkSpaces

AWS akan menerapkan pembaruan keamanan yang dirilis oleh Microsoft untuk sebagian besar AWS WorkSpaces pada akhir pekan mendatang. Pelanggan dapat menantikan WorkSpaces mereka di-reboot selama periode ini.

Pelanggan Bring Your Own License (BYOL) dan pelanggan yang mengubah pengaturan pembaruan default di WorkSpaces harus menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.

Harap ikuti instruksi yang diberikan petunjuk keamanan Microsoft di https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Petunjuk keamanan menyertakan tautan ke artikel basis pengetahuan untuk sistem operasi Klien dan Windows Server yang memberikan informasi lebih spesifik.

Bundel WorkSpaces yang diperbarui akan segera tersedia dengan pembaruan keamanan. Pelanggan yang telah membuat Bundel Kustom harus memperbarui bundel tersebut untuk menyertakan pembaruan keamanan itu sendiri. Semua WorkSpaces baru yang diluncurkan dari bundel yang tidak memiliki pembaruan akan menerima patch segera setelah peluncuran, kecuali pelanggan telah mengubah pengaturan pembaruan default pada WorkSpaces, dalam hal ini mereka harus mengikuti urutan langkah di atas untuk menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.

WorkSpaces Application Manager (WAM)

Kami menyarankan agar pelanggan memilih salah satu dari tindakan berikut:

Opsi 1: Menerapkan patch Microsoft secara manual pada instans WAM Packager dan Validator yang berjalan dengan mengikuti langkah-langkah yang diberikan oleh Microsoft di https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Halaman ini memberikan instruksi lebih lanjut dan unduhan untuk Windows Server.

Opsi 2: Membangun kembali instans Validator EC2 dan WAM Packager baru dari AMI yang diperbarui untuk WAM Packager dan Validator yang akan tersedia pada akhir hari (04/01/2018).