Anda melihat versi sebelumnya dari buletin keamanan ini. Untuk versi terbaru saat ini, kunjungi: "Pengungkapan Riset Eksekusi Spekulatif Prosesor".

Tentang: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Pembaruan Per: 07/01/2018 11.30 PST

Ini merupakan pembaruan untuk masalah ini.

Amazon EC2

Semua instans di seluruh armada Amazon EC2 dilindungi dari semua vektor ancaman yang diketahui dari CVE yang sebelumnya tercantum. Instans pelanggan dilindungi terhadap ancaman ini dari instans lainnya. Kami belum mengamati dampak kinerja yang berarti untuk sebagian besar beban kerja EC2.

Tindakan Pelanggan yang Disarankan untuk AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, dan Amazon Lightsail

Sementara semua instans pelanggan dilindungi, kami menyarankan bahwa pelanggan membuat patch pada sistem pengoperasian instans mereka. Ini akan memperkuat perlindungan yang disediakan sistem operasi ini untuk mengisolasi perangkat lunak yang beroperasi dalam instans yang sama. Untuk detail selengkapnya, lihat panduan vendor khusus mengenai penerapan dan ketersediaan patch.

Panduan vendor khusus:

Untuk sistem operasi yang tidak tercantum, pelanggan harus menghubungi vendor AMI atau sistem operasi mereka untuk pembaruan dan instruksi.

Pembaruan layanan AWS lainnya

AMI Amazon Linux (ID Buletin: ALAS-2018-939)

Kernel yang diperbarui untuk Amazon Linux tersedia di dalam repositori Amazon Linux. Instans EC2 yang diluncurkan dengan konfigurasi Amazon Linux default pada atau setelah pukul 22.45 (GMT) pada 3 Januari 2018 akan secara otomatis menyertakan paket yang diperbarui. Pelanggan dengan instans AMI Amazon Linux yang ada harus menjalankan perintah berikut untuk memastikan bahwa mereka menerima paket yang diperbarui:

kernel pembaruan sudo yum

Setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.

Informasi selengkapnya pada buletin ini tersedia di Pusat Keamanan AMI Amazon Linux.

EC2 Windows

Kami telah memperbarui AMI Windows AWS. AMI Windows AWS kini dapat digunakan pelanggan, dan memiliki patch penting yang diinstal dan kunci registri yang diaktifkan.

Microsoft telah memberikan patch Windows untuk Server 2008R2, 2012R2, dan 2016. Patch tersedia dalam Layanan Pembaruan Windows bawaan untuk Server 2016. Kami menunggu informasi dari Microsoft mengenai ketersediaan patch untuk Server 2003, 2008SP2, dan 2012RTM.

Pelanggan AWS yang menjalankan instans Windows pada EC2 yang mengaktifkan "Pembaruan Otomatis" harus menjalankan pembaruan otomatis untuk mengunduh dan menginstal pembaruan yang diperlukan untuk Windows ketika tersedia.

Perhatikan bahwa patch Server 2008R2 dan 2012R2 saat ini tidak tersedia melalui Windows Update yang memerlukan pengunduhan manual, Microsoft mempertimbangkan bahwa patch ini akan tersedia pada hari Selasa, 9 Januari.

Pelanggan AWS yang menjalankan instans Windows pada EC2 yang tidak mengaktifkan “Pembaruan Otomatis” harus menginstal pembaruan yang diperlukan secara manual ketika tersedia dengan mengikuti instruksi di sini: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Perhatikan bahwa, untuk Windows Server, langkah-langkah tambahan diperlukan oleh Microsoft untuk mengaktifkan fitur perlindungan pembaruan untuk masalah ini, dijelaskan di sini: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI yang Dioptimalkan ECS

Kami telah merilis AMI yang Dioptimalkan Amazon ECS versi 2017.09.e yang menggabungkan semua perlindungan Amazon Linux untuk masalah ini. Kami menyarankan agar semua pelanggan Amazon ECS meningkatkan ke versi terbaru ini yang tersedia di AWS Marketplace. Pelanggan yang memilih untuk memperbarui instans yang ada di lokasi harus menjalankan perintah berikut pada setiap instans kontainer:

kernel pembaruan sudo yum

Pembaruan memerlukan reboot instans kontainer untuk diselesaikan

Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan ECS disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI alternatif/pihak ketiga untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan AMI Amazon Linux.

EC2 Microsoft Windows dan AMI yang Dioptimalkan ECS terbaru akan dirilis saat patch Microsoft tersedia.

Elastic Beanstalk

Kami akan merilis platform versi baru yang meliputi pembaruan kernel untuk mengatasi masalah ini dalam 48 jam. Untuk lingkungan Linux, kami menyarankan bahwa Anda mengaktifkan “Pembaruan Platform Terkelola” agar otomatis diperbarui di jendela pemeliharaan pilihan Anda setelah pembaruan ini tersedia. Kami akan memposting instruksi untuk lingkungan Windows saat pembaruan tersedia.  

AWS Fargate

Semua infrastruktur yang menjalankan tugas Fargate telah diberi patch seperti yang dijelaskan di atas dan tindakan pelanggan tidak diperlukan.

Amazon FreeRTOS

Pembaruan tidak diperlukan atau berlaku untuk Amazon FreeRTOS dan prosesor ARM yang didukung.

AWS Lambda

Semua instans yang menjalankan fungsi Lambda telah diberi patch seperti yang dijelaskan di atas dan tindakan pelanggan tidak diperlukan.

RDS

Instans database pelanggan yang dikelola RDS masing-masing khusus hanya untuk menjalankan mesin database untuk satu pelanggan, tanpa proses yang dapat diakses pelanggan lain, dan pelanggan tidak bisa menjalankan kode pada instans yang mendasarinya. Karena AWS telah selesai melindungi semua infrastruktur yang mendasari RDS, masalah proses ke kernel atau proses ke proses pada masalah ini tidak berisiko bagi pelanggan. Sebagian besar mesin database yang didukung RDS telah melaporkan tidak ada masalah intraproses yang diidentifikasi saat ini. Detail khusus mesin database tambahan terdapat di bawah, dan kecuali dinyatakan lain, tidak ada tindakan pelanggan yang diperlukan. Kami akan memperbarui buletin ini saat informasi selengkapnya tersedia.

RDS untuk MariaDB, RDS untuk MySQL, Aurora MySQL, dan RDS untuk instans database Oracle saat ini tidak memerlukan tindakan pelanggan.

Untuk RDS PostgreSQL dan Aurora PostgreSQL, Instans DB yang berjalan pada konfigurasi default saat ini tidak memerlukan tindakan pelanggan. Kami akan memberikan patch yang sesuai bagi pengguna ekstensi plv8 setelah tersedia. Sementara itu, pelanggan yang telah mengaktifkan ekstensi plv8 (nonaktif secara default) perlu mempertimbangkan untuk menonaktifkannya dan meninjau panduan V8 di https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Untuk RDS Instans Database SQL Server, kami akan merilis patch mesin OS dan database jika masing-masing telah tersedia dari Microsoft, sehingga pelanggan dapat memutakhirkan pada waktu yang mereka pilih. Buletin ini akan diperbarui setelah salah satunya selesai. Sementara itu, pelanggan yang telah mengaktifkan CLR (nonaktif secara default) harus meninjau panduan Microsoft tentang penonaktifan ekstensi CLR di https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

VMware Cloud on AWS

Baca petunjuk keamanan VMware di sini untuk detail selengkapnya: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

AWS akan menerapkan pembaruan keamanan yang dirilis oleh Microsoft untuk sebagian besar AWS WorkSpaces pada akhir pekan mendatang. Pelanggan dapat menantikan WorkSpaces mereka di-reboot selama periode ini.

Pelanggan Bring Your Own License (BYOL) dan pelanggan yang mengubah pengaturan pembaruan default di WorkSpaces harus menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.

Harap ikuti instruksi yang diberikan petunjuk keamanan Microsoft di https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Petunjuk keamanan menyertakan tautan ke artikel basis pengetahuan untuk sistem operasi Klien dan Windows Server yang memberikan informasi lebih spesifik.

Bundel WorkSpaces yang diperbarui akan segera tersedia dengan pembaruan keamanan. Pelanggan yang telah membuat Bundel Kustom harus memperbarui bundel tersebut untuk menyertakan pembaruan keamanan itu sendiri. Semua WorkSpaces baru yang diluncurkan dari bundel yang tidak memiliki pembaruan akan menerima patch segera setelah peluncuran, kecuali pelanggan telah mengubah pengaturan pembaruan default pada WorkSpaces, dalam hal ini mereka harus mengikuti urutan langkah di atas untuk menerapkan pembaruan keamanan yang diberikan oleh Microsoft secara manual.

WorkSpaces Application Manager (WAM)

Kami menyarankan agar pelanggan memilih salah satu dari tindakan berikut:

Opsi 1: Menerapkan patch Microsoft secara manual pada instans WAM Packager dan Validator yang berjalan dengan mengikuti langkah-langkah yang diberikan oleh Microsoft di https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Halaman ini memberikan instruksi lebih lanjut dan unduhan untuk Windows Server.

Opsi 2: Membangun kembali instans Validator EC2 dan WAM Packager baru dari AMI yang diperbarui untuk WAM Packager dan Validator yang akan tersedia pada akhir hari (04/01/2018).