Pengungkapan Riset Eksekusi Spekulatif Prosesor (v3)

Anda melihat versi sebelumnya dari buletin keamanan ini. Untuk versi terbaru saat ini, kunjungi: "Pengungkapan Riset Eksekusi Spekulatif Prosesor".

Tentang: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Pembaruan Per: 05/01/2018 13:30 PST

Ini merupakan pembaruan untuk masalah ini.

Amazon EC2

Semua instans di seluruh armada Amazon EC2 dilindungi dari semua vektor ancaman yang diketahui dari CVE yang sebelumnya tercantum. Instans pelanggan dilindungi terhadap ancaman ini dari instans lainnya. Kami belum mengamati dampak kinerja yang berarti untuk sebagian besar beban kerja EC2.

Tindakan Pelanggan yang Disarankan untuk AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, dan Amazon Lightsail

Sementara semua instans pelanggan dilindungi, kami menyarankan bahwa pelanggan membuat patch pada sistem pengoperasian instans mereka. Ini akan memperkuat perlindungan yang disediakan sistem operasi ini untuk mengisolasi perangkat lunak yang beroperasi dalam instans yang sama. Untuk detail selengkapnya, lihat panduan vendor khusus mengenai penerapan dan ketersediaan patch.

Panduan vendor khusus:

Untuk sistem operasi yang tidak tercantum, pelanggan harus menghubungi vendor AMI atau sistem operasi mereka untuk pembaruan dan instruksi.

Pembaruan layanan AWS lainnya

AMI Amazon Linux (ID Buletin: ALAS-2018-939)

Kernel yang diperbarui untuk Amazon Linux tersedia di dalam repositori Amazon Linux. Instans EC2 yang diluncurkan dengan konfigurasi Amazon Linux default pada atau setelah pukul 22.45 (GMT) pada 3 Januari 2018 akan secara otomatis menyertakan paket yang diperbarui. Pelanggan dengan instans AMI Amazon Linux yang ada harus menjalankan perintah berikut untuk memastikan bahwa mereka menerima paket yang diperbarui:

kernel pembaruan sudo yum

Setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.

Informasi selengkapnya pada buletin ini tersedia di Pusat Keamanan AMI Amazon Linux.

EC2 Windows

Kami sedang memperbarui AMI Server Windows default dan kami akan memperbarui buletin ini saat tersedia.

AMI yang Dioptimalkan ECS

Kami telah merilis AMI yang Dioptimalkan Amazon ECS versi 2017.09.e yang menggabungkan semua perlindungan Amazon Linux untuk masalah ini. Kami menyarankan agar semua pelanggan Amazon ECS meningkatkan ke versi terbaru ini yang tersedia di AWS Marketplace. Pelanggan yang memilih untuk memperbarui instans yang ada di lokasi harus menjalankan perintah berikut pada setiap instans kontainer:

kernel pembaruan sudo yum

Pembaruan memerlukan reboot instans kontainer untuk diselesaikan

Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan ECS disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI alternatif/pihak ketiga untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan AMI Amazon Linux.

EC2 Microsoft Windows dan AMI yang Dioptimalkan ECS terbaru akan dirilis saat patch Microsoft tersedia.

Elastic Beanstalk

Kami akan merilis platform versi baru yang meliputi pembaruan kernel untuk mengatasi masalah ini dalam 48 jam. Untuk lingkungan Linux, kami menyarankan bahwa Anda mengaktifkan “Pembaruan Platform Terkelola” agar otomatis diperbarui di jendela pemeliharaan pilihan Anda setelah pembaruan ini tersedia. Kami akan memposting instruksi untuk lingkungan Windows saat pembaruan tersedia.  

AWS Fargate

Semua infrastruktur yang menjalankan tugas Fargate telah diberi patch seperti yang dijelaskan di atas dan tindakan pelanggan tidak diperlukan.

Amazon FreeRTOS

Pembaruan tidak diperlukan atau berlaku untuk Amazon FreeRTOS dan prosesor ARM yang didukung.

AWS Lambda

Semua instans yang menjalankan fungsi Lambda telah diberi patch seperti yang dijelaskan di atas dan tindakan pelanggan tidak diperlukan.

VMware Cloud on AWS

Baca petunjuk keamanan VMware di sini untuk detail selengkapnya: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

AWS akan menerapkan pembaruan keamanan yang dirilis oleh Microsoft untuk sebagian besar AWS WorkSpaces pada akhir pekan mendatang. Pelanggan dapat menantikan WorkSpaces mereka di-reboot selama periode ini.

Pelanggan Bring Your Own License (BYOL) dan pelanggan yang mengubah pengaturan pembaruan default di WorkSpaces harus menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.

Harap ikuti instruksi yang diberikan petunjuk keamanan Microsoft di https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Petunjuk keamanan menyertakan tautan ke artikel basis pengetahuan untuk sistem operasi Klien dan Windows Server yang memberikan informasi lebih spesifik.

Bundel WorkSpaces yang diperbarui akan segera tersedia dengan pembaruan keamanan. Pelanggan yang telah membuat Bundel Kustom harus memperbarui bundel tersebut untuk menyertakan pembaruan keamanan itu sendiri. Semua WorkSpaces baru yang diluncurkan dari bundel yang tidak memiliki pembaruan akan menerima patch segera setelah peluncuran, kecuali pelanggan telah mengubah pengaturan pembaruan default pada WorkSpaces, dalam hal ini mereka harus mengikuti urutan langkah di atas untuk menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.

WorkSpaces Application Manager (WAM)

Kami menyarankan agar pelanggan memilih salah satu dari tindakan berikut:

Opsi 1: Menerapkan patch Microsoft secara manual pada instans WAM Packager dan Validator yang berjalan dengan mengikuti langkah-langkah yang diberikan oleh Microsoft di https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Halaman ini memberikan instruksi lebih lanjut dan unduhan untuk Windows Server.

Opsi 2: Membangun kembali instans Validator EC2 dan WAM Packager baru dari AMI yang diperbarui untuk WAM Packager dan Validator yang akan tersedia pada akhir hari (04/01/2018).