Anda sedang membaca versi lama buletin keamanan ini. Untuk versi terbaru saat ini, kunjungi: "Pengungkapan Riset Eksekusi Spekulatif Prosesor".
Tentang: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Pembaruan Per: 17/01/2018 24:00 PST
Ini merupakan pembaruan bagi masalah ini.
Kernel pembaruan untuk Amazon Linux tersedia di dalam repositori Amazon Linux. Instans EC2 yang diluncurkan dengan konfigurasi Amazon Linux default pada atau setelah 13 Januari 2018 akan secara otomatis menyertakan paket yang diperbarui, yang menggabungkan peningkatan keamanan Linux sumber terbuka stabil terbaru untuk fokus pada CVE-2017-5715 di dalam kernel dan membangun dari Kernel Page Table Isolation (KPTI) yang digabung sebelumnya yang berfokus pada CVE-2017-5754. Pelanggan harus meningkatkan ke kernel Amazon Linux atau AMI terbaru untuk secara efektif memitigasi masalah proses ke proses pada CVE-2017-5715 dan masalah proses ke kernel pada CVE-2017-5754 di dalam instans mereka. Lihat “Eksekusi Spekulatif Prosesor – Pembaruan Sistem Operasi” untuk informasi selengkapnya.
Lihat informasi “Panduan Instans PV” lebih lanjut di bawah terkait instans yang diparavirtualkan (PV).
Amazon EC2
Semua instans di seluruh armada Amazon EC2 dilindungi dari semua masalah instans ke instans pada CVE-2017-5715, CVE-2017-5753, dan CVE-2017-5754. Masalah instans ke instans menganggap instans berdekatan yang tidak tepercaya dapat membaca memori instans lainnya atau hypervisor AWS. Masalah ini telah diatasi untuk hypervisor AWS, dan tidak ada instans yang dapat membaca memori instans lainnya, begitu pula instans lainnya tidak dapat membaca memori hypervisor AWS. Seperti yang dinyatakan sebelumnya, kami belum mengamati dampak kinerja yang berarti untuk sebagian besar beban kerja EC2.
Sejumlah kecil instans dan kerusakan aplikasi karena pembaruan mikrokode Intel telah teridentifikasi, dan kami sedang bekerja sama langsung dengan pelanggan yang terpengaruh. Kami baru saja menyelesaikan penonaktifan berbagai bagian dari mikrokode CPU Intel baru untuk platform di AWS di mana kami melihat masalah ini. Ini tampaknya telah mengurangi masalah untuk instans ini. Semua instans di seluruh armada Amazon EC2 tetap dilindungi dari semua vektor ancaman yang dikenal. Mikrokode Intel yang dinonaktifkan memberikan perlindungan tambahan terhadap vektor ancaman teoretis dari masalah CVE-2017-5715. Kami akan aktifkan kembali perlindungan tambahan ini (berikut beberapa optimasi performa lainnya yang telah kami kerjakan) dalam waktu dekat setelah Intel memberikan mikrokode yang diperbarui.
Tindakan Pelanggan yang Disarankan untuk AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, dan Amazon Lightsail
Meskipun semua instans pelanggan dilindungi seperti yang dijelaskan di atas, kami sarankan agar pelanggan melakukan patch pada sistem operasi instans mereka untuk mengatasi masalah proses ke proses atau proses ke kernel. Lihat “Eksekusi Spekulatif Prosesor – Pembaruan Sistem Operasi” untuk panduan dan instruksi lebih lanjut tentang Amazon Linux & Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE, dan Ubuntu.
Panduan Instans PV
Setelah menjalankan riset dan analisis mendetail pada patch sistem operasi yang tersedia untuk masalah ini, telah kami putuskan bahwa perlindungan sistem operasi tidak mencukupi untuk mengatasi masalah proses ke proses di dalam instans yang diparavirtualkan (PV). Meskipun instans PV dilindungi oleh hypervisor AWS dari semua masalah instans ke instans seperti dijelaskan di atas, pelanggan yang khawatir dengan proses isolasi dalam instans PV (misalnya, memproses data tak tepercaya, menjalankan kode tak tepercaya, meng-host pengguna tak tepercaya), sangat direkomendasikan untuk bermigrasi ke jenis instans HVM demi manfaat keamanan dalam jangka lebih panjang.
Untuk informasi selengkapnya tentang perbedaan antara PV dan HVM (serta dokumentasi jalur peningkatan instans), lihat:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Harap hubungi Support jika Anda memerlukan bantuan dengan jalur peningkatan untuk instans PV apa pun.
Pembaruan layanan AWS lainnya
Layanan berikut yang memerlukan patch pada instans EC2 yang dikelola atas nama pelanggan, telah menyelesaikan semua pekerjaan, dan tidak perlu dilakukan tindakan pelanggan:
- Fargate
- Lambda
Kecuali disebutkan lain di bawah ini, semua layanan AWS lainnya tidak memerlukan tindakan pelanggan.
AMI yang Dioptimalkan ECS
Kami telah merilis AMI yang Dioptimalkan Amazon ECS versi 2017.09.g yang menggabungkan semua perlindungan Amazon Linux untuk masalah ini, termasuk perbaruan kernel Amazon Linux kedua tersebut di atas. Kami sarankan agar semua pelanggan Amazon ECS meningkatkan ke versi terbaru ini yang tersedia di AWS Marketplace. Kami akan terus menyertakan berbagai perbaikan Amazon Linux begitu telah tersedia.
Pelanggan yang memilih untuk memperbarui instans AMI yang Dioptimalkan ECS yang ada harus menjalankan perintah berikut untuk memastikan mereka menerima paket yang diperbarui:
kernel pembaruan sudo yum
Demikian halnya standar untuk setiap pembaruan kernel Linux mana pun, setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.
Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan ECS disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI alternatif/pihak ketiga untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan AMI Amazon Linux.
Kami telah merilis AMI Windows yang Dioptimalkan Amazon ECS versi 2018.01.10. Untuk detail tentang cara menerapkan patch untuk menjalankan instans, lihat "Eksekusi Spekulatif Prosesor – Pembaruan Sistem Operasi".
Elastic Beanstalk
Kami telah memperbarui semua platform berbasis Linux untuk menyertakan semua perlindungan Amazon Linux untuk masalah ini. Lihat catatan rilis untuk versi platform tertentu. Kami menyarankan pelanggan Elastic Beanstalk untuk memperbarui lingkungannya ke versi platform terbaru yang tersedia. Lingkungan yang menggunakan Pembaruan Terkelola akan secara otomatis diperbarui selama jendela pemeliharaan yang dikonfigurasi.
Platform berbasis Windows juga akan diperbarui untuk menyertakan semua perlindungan Windows EC2 untuk masalah ini. Pelanggan disarankan untuk memperbarui lingkungan Elastics Beanstalk berbasis Windows mereka ke konfigurasi platform terbaru yang tersedia.
ElastiCache
Node cache pelanggan yang dikelola ElastiCache masing-masing khusus hanya untuk menjalankan mesin cache untuk satu pelanggan, tanpa proses yang dapat diakses pelanggan lain, dan pelanggan tidak bisa menjalankan kode pada instans yang mendasarinya. Karena AWS telah selesai melindungi semua infrastruktur yang mendasari ElastiCache, masalah proses ke kernel atau proses ke proses pada masalah ini tidak berisiko bagi pelanggan. Kedua mesin cache yang didukung ElastiCache melaporkan tidak ada masalah intraproses yang diidentifikasi saat ini.
EMR
Amazon EMR meluncurkan klaster instans Amazon EC2 yang menjalankan Amazon Linux atas nama pelanggan ke akun pelanggan. Pelanggan yang khawatir dengan proses isolasi di dalam instans pada klaster Amazon EMR harus meningkatkan ke kernel Amazon Linux terbaru seperti dianjurkan di atas. Kami sedang dalam proses memasukkan kernel Amazon Linux terbaru ke rilis minor baru pada cabang 5.11.x dan cabang 4.9.x. Pelanggan akan dapat membuat klaster Amazon EMR baru dengan rilis berikut. Buletin ini akan diperbarui bila berbagai rilis ini telah tersedia.
Untuk rilis Amazon EMR saat ini dan semua instans terkait yang sedang berjalan dan mungkin dimiliki pelanggan, kami menyarankan agar memperbarui ke kernel Amazon Linux seperti yang direkomendasikan di atas. Untuk klaster baru, pelanggan dapat menggunakan tindakan bootstrap untuk memperbarui kernel Linux dan me-reboot tiap instans. Untuk klaster yang berjalan, pelanggan dapat memfasilitasi pembaruan kernel Linux dan memulai ulang semua instans dalam klaster mereka secara bergulir. Perhatikan bahwa memulai ulang proses tertentu dapat berdampak pada aplikasi yang berjalan di dalam klaster.
RDS
Instans database pelanggan yang dikelola RDS masing-masing khusus hanya untuk menjalankan mesin database untuk satu pelanggan, tanpa proses yang dapat diakses pelanggan lain, dan pelanggan tidak bisa menjalankan kode pada instans yang mendasarinya. Karena AWS telah selesai melindungi semua infrastruktur yang mendasari RDS, masalah proses ke kernel atau proses ke proses pada masalah ini tidak berisiko bagi pelanggan. Sebagian besar mesin database yang didukung RDS telah melaporkan tidak ada masalah intraproses yang diidentifikasi saat ini. Detail khusus mesin database tambahan terdapat di bawah, dan kecuali dinyatakan lain, tidak ada tindakan pelanggan yang diperlukan.
Untuk RDS untuk Instans Database SQL Server, kami akan merilis patch mesin OS dan database jika masing-masing telah tersedia dari Microsoft, sehingga pelanggan dapat memutakhirkan pada waktu yang mereka pilih. Buletin ini akan diperbarui setelah salah satunya selesai. Sementara itu, pelanggan yang telah mengaktifkan CLR (nonaktif secara default) harus meninjau panduan Microsoft tentang penonaktifan ekstensi CLR di https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
Untuk RDS PostgreSQL dan Aurora PostgreSQL, Instans DB yang berjalan pada konfigurasi default saat ini tidak memerlukan tindakan pelanggan. Kami akan memberikan patch yang sesuai bagi pengguna ekstensi plv8 setelah tersedia. Sementara itu, pelanggan yang telah mengaktifkan ekstensi plv8 (nonaktif secara default) perlu mempertimbangkan untuk menonaktifkannya dan meninjau panduan V8 di https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
RDS untuk MariaDB, RDS untuk MySQL, Aurora MySQL, dan RDS untuk instans database Oracle saat ini tidak memerlukan tindakan pelanggan.
VMware Cloud on AWS
Per VMware, “Remediasi seperti yang didokumentasikan di VMSA-2018-0002, sudah ada di VMware Cloud on AWS sejak awal Desember 2017.”
Baca Blog Keamanan & Kepatuhan VMware untuk detail selengkapnya dan https://status.vmware-services.io untuk status yang diperbarui.
WorkSpaces
Untuk pengalaman Windows 7 pada pelanggan Windows Server 2008 R2:
Microsoft telah merilis pembaruan keamanan baru pada Windows Server 2008 R2 untuk masalah ini. Keberhasilan pengiriman pembaruan ini mensyaratkan perangkat lunak Antivirus kompatibel yang berjalan pada server seperti diuraikan di pembaruan keamanan oleh Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Pelanggan WorkSpaces perlu mengambil tindakan untuk mendapatkan pembaruan ini. Ikuti instruksi yang diberikan oleh Microsoft di: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Untuk pengalaman Windows 10 pada pelanggan Windows Server 2016:
AWS telah menerapkan pembaruan keamanan pada WorkSpaces yang menjalankan pengalaman Windows 10 pada Windows Server 2016. Windows 10 telah membuat perangkat lunak Antivirus Windows Defender yang kompatibel dengan pembaruan keamanan ini. Tidak memerlukan tindakan pelanggan lebih lanjut.
Untuk BYOL dan pelanggan dengan pengaturan pembaruan default yang dimodifikasi:
Perhatikan bahwa pelanggan yang menggunakan fitur Bring Your Own License (BYOL) WorkSpaces, dan pelanggan yang mengubah pengaturan pembaruan default di WorkSpaces harus menerapkan secara manual pembaruan keamanan yang diberikan oleh Microsoft. Jika ini berlaku untuk Anda, ikuti instruksi yang diberikan oleh petunjuk keamanan Microsoft di https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Petunjuk keamanan menyertakan tautan ke artikel basis pengetahuan untuk Windows Server dan sistem operasi Klien yang memberikan informasi lebih spesifik.
Bundel WorkSpaces yang diperbarui akan segera tersedia dengan pembaruan keamanan. Pelanggan yang telah membuat Bundel Kustom harus memperbarui bundel tersebut untuk menyertakan pembaruan keamanan itu sendiri. Semua WorkSpaces baru yang diluncurkan dari bundel yang tidak memiliki pembaruan akan menerima patch segera setelah peluncuran, kecuali pelanggan telah mengubah pengaturan pembaruan default pada WorkSpaces atau menginstal perangkat lunak antivirus yang tidak kompatibel, dalam hal ini urutan langkah di atas harus diikuti untuk menerapkan secara manual pembaruan keamanan yang diberikan oleh Microsoft.
Amazon WorkSpaces Application Manager (WAM)
Kami menyarankan agar pelanggan memilih salah satu dari tindakan berikut:
Opsi 1: Menerapkan pembaruan Microsoft secara manual pada instans WAM Packager dan Validator yang berjalan dengan mengikuti langkah-langkah yang diberikan oleh Microsoft di https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . Halaman ini memberikan instruksi lebih lanjut dan unduhan yang relevan.
Opsi 2: Hentikan instans Packager and Validator yang sudah ada. Luncurkan instans baru menggunakan AMI yang diperbarui berlabel "Amazon WAM Admin Studio 1.5.1" dan "Amazon WAM Admin Player 1.5.1".