Anda melihat versi sebelumnya dari buletin keamanan ini. Untuk versi terbaru saat ini, kunjungi: "Pengungkapan Riset Eksekusi Spekulatif Prosesor".
Tentang: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Pembaruan Per: 05/01/2018 Pukul 21.00 PST
Ini merupakan pembaruan untuk masalah ini.
Amazon EC2
Semua instans di seluruh armada Amazon EC2 dilindungi dari semua vektor ancaman yang diketahui dari CVE yang sebelumnya tercantum. Instans pelanggan dilindungi terhadap ancaman ini dari instans lainnya. Kami belum mengamati dampak kinerja yang berarti untuk sebagian besar beban kerja EC2.
Tindakan Pelanggan yang Disarankan untuk AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, dan Amazon Lightsail
Sementara semua instans pelanggan dilindungi, kami menyarankan bahwa pelanggan membuat patch pada sistem pengoperasian instans mereka. Ini akan memperkuat perlindungan yang disediakan sistem operasi ini untuk mengisolasi perangkat lunak yang beroperasi dalam instans yang sama. Untuk detail selengkapnya, lihat panduan vendor khusus mengenai penerapan dan ketersediaan patch.
Panduan vendor khusus:
- Amazon Linux – Detail selengkapnya dijelaskan di bawah ini.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Untuk sistem operasi yang tidak tercantum, pelanggan harus menghubungi vendor AMI atau sistem operasi mereka untuk pembaruan dan instruksi.
Pembaruan layanan AWS lainnya
AMI Amazon Linux (ID Buletin: ALAS-2018-939)
Kernel yang diperbarui untuk Amazon Linux tersedia di dalam repositori Amazon Linux. Instans EC2 yang diluncurkan dengan konfigurasi Amazon Linux default pada atau setelah pukul 22.45 (GMT) pada 3 Januari 2018 akan secara otomatis menyertakan paket yang diperbarui. Pelanggan dengan instans AMI Amazon Linux yang ada harus menjalankan perintah berikut untuk memastikan bahwa mereka menerima paket yang diperbarui:
kernel pembaruan sudo yum
Setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.
Informasi selengkapnya pada buletin ini tersedia di Pusat Keamanan AMI Amazon Linux.
EC2 Windows
Kami sedang memperbarui AMI Server Windows default dan kami akan memperbarui buletin ini saat tersedia.
ECS AMI yang Dioptimalkan
Kami telah merilis Amazon ECS AMI yang Dioptimalkan versi 2017.09.g yang menggabungkan semua perlindungan Amazon Linux untuk masalah ini. Kami menyarankan agar semua pelanggan Amazon ECS meningkatkan ke versi terbaru ini yang tersedia di AWS Marketplace. Pelanggan yang memilih untuk memperbarui instans yang ada di lokasi harus menjalankan perintah berikut pada setiap instans kontainer:
kernel pembaruan sudo yum
Pembaruan memerlukan reboot instans kontainer untuk diselesaikan
Pelanggan Linux yang tidak menggunakan ECS AMI yang Dioptimalkan disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI alternatif/pihak ketiga untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan AMI Amazon Linux.
EC2 Microsoft Windows dan AMI yang Dioptimalkan ECS terbaru akan dirilis saat patch Microsoft tersedia.
Elastic Beanstalk
Kami akan merilis platform versi baru yang meliputi pembaruan kernel untuk mengatasi masalah ini dalam 48 jam. Untuk lingkungan Linux, kami menyarankan bahwa Anda mengaktifkan “Pembaruan Platform Terkelola” agar otomatis diperbarui di jendela pemeliharaan pilihan Anda setelah pembaruan ini tersedia. Kami akan memposting instruksi untuk lingkungan Windows saat pembaruan tersedia.
AWS Fargate
Semua infrastruktur yang menjalankan tugas Fargate telah diberi patch seperti yang dijelaskan di atas dan tindakan pelanggan tidak diperlukan.
Amazon FreeRTOS
Pembaruan tidak diperlukan atau berlaku untuk Amazon FreeRTOS dan prosesor ARM yang didukung.
AWS Lambda
Semua instans yang menjalankan fungsi Lambda telah diberi patch seperti yang dijelaskan di atas dan tindakan pelanggan tidak diperlukan.
RDS
Instans database pelanggan yang dikelola RDS masing-masing khusus hanya untuk menjalankan mesin database untuk satu pelanggan, tanpa proses yang dapat diakses pelanggan lain, dan pelanggan tidak bisa menjalankan kode pada instans yang mendasarinya. Karena AWS telah selesai melindungi semua infrastruktur yang mendasari RDS, masalah proses ke kernel atau proses ke proses pada masalah ini tidak berisiko bagi pelanggan. Sebagian besar mesin database yang didukung RDS telah melaporkan tidak ada masalah intraproses yang diidentifikasi saat ini. Detail khusus mesin database tambahan terdapat di bawah, dan kecuali dinyatakan lain, tidak ada tindakan pelanggan yang diperlukan. Kami akan memperbarui buletin ini saat informasi selengkapnya tersedia.
RDS untuk MariaDB, RDS untuk MySQL, Aurora MySQL, dan RDS untuk instans database Oracle saat ini tidak memerlukan tindakan pelanggan.
Untuk RDS PostgreSQL dan Aurora PostgreSQL, Instans DB yang berjalan pada konfigurasi default saat ini tidak memerlukan tindakan pelanggan. Kami akan memberikan patch yang sesuai bagi pengguna ekstensi plv8 setelah tersedia. Sementara itu, pelanggan yang telah mengaktifkan ekstensi plv8 (nonaktif secara default) perlu mempertimbangkan untuk menonaktifkannya dan meninjau panduan V8 di https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Untuk RDS untuk Instans Database SQL Server, kami akan merilis patch mesin OS dan database jika masing-masing telah tersedia dari Microsoft, sehingga pelanggan dapat memutakhirkan pada waktu yang mereka pilih. Buletin ini akan diperbarui setelah salah satunya selesai. Sementara itu, pelanggan yang telah mengaktifkan CLR (nonaktif secara default) harus meninjau panduan Microsoft tentang penonaktifan ekstensi CLR di https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Baca petunjuk keamanan VMware di sini untuk detail selengkapnya: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
AWS akan menerapkan pembaruan keamanan yang dirilis oleh Microsoft untuk sebagian besar AWS WorkSpaces pada akhir pekan mendatang. Pelanggan dapat menantikan WorkSpaces mereka di-reboot selama periode ini.
Pelanggan Bring Your Own License (BYOL) dan pelanggan yang mengubah pengaturan pembaruan default di WorkSpaces harus menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.
Harap ikuti instruksi yang diberikan petunjuk keamanan Microsoft di https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Petunjuk keamanan menyertakan tautan ke artikel basis pengetahuan untuk sistem operasi Klien dan Windows Server yang memberikan informasi lebih spesifik.
Bundel WorkSpaces yang diperbarui akan segera tersedia dengan pembaruan keamanan. Pelanggan yang telah membuat Bundel Kustom harus memperbarui bundel tersebut untuk menyertakan pembaruan keamanan itu sendiri. Semua WorkSpaces baru yang diluncurkan dari bundel yang tidak memiliki pembaruan akan menerima patch segera setelah peluncuran, kecuali pelanggan telah mengubah pengaturan pembaruan default pada WorkSpaces, dalam hal ini mereka harus mengikuti urutan langkah di atas untuk menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.
WorkSpaces Application Manager (WAM)
Kami menyarankan agar pelanggan memilih salah satu dari tindakan berikut:
Opsi 1: Menerapkan patch Microsoft secara manual pada instans WAM Packager dan Validator yang berjalan dengan mengikuti langkah-langkah yang diberikan oleh Microsoft di https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Halaman ini memberikan instruksi lebih lanjut dan unduhan untuk Windows Server.
Opsi 2: Membangun kembali instans Validator EC2 dan WAM Packager baru dari AMI yang diperbarui untuk WAM Packager dan Validator yang akan tersedia pada akhir hari (04/01/2018).