Anda melihat versi sebelumnya dari buletin keamanan ini. Untuk versi paling terbaru, kunjungi: "Penyangkalan Masalah Layanan TCP SACK Kernel Linux".

17Juni 2019 Pukul 10.00 PDT

Pengidentifikasi CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479

AWS mengetahui adanya tiga masalah yang baru-baru ini diungkapkan yang memengaruhi subsistem pemrosesan TCP pada kernel Linux. Secara khusus, klien atau server TCP yang berbahaya dapat mengirimkan serangkaian paket yang dibuat khusus yang dapat menyebabkan kernel Linux dari sistem penghubung yang ditargetkan menjadi panik dan melakukan reboot.

Sistem dan infrastruktur dasar AWS dilindungi dari masalah ini. Dengan pengecualian dari layanan AWS yang tercantum di bawah ini, tidak ada tindakan pelanggan yang diperlukan untuk memitigasi masalah potensi penolakan layanan (DoS) terkait dengan masalah ini.

Amazon Elastic Compute Cloud (EC2)

Pelanggan instans berbasis Linux EC2 baik yang memulai atau secara langsung menerima koneksi TCP ke atau dari pihak tidak tepercaya, contoh: Internet, memerlukan patch sistem operasi untuk memitigasi potensi masalah DoS terhadap masalah ini. CATATAN: Pelanggan yang menggunakan Amazon Elastic Load Balancing (ELB) harus membaca "Elastic Load Balancing (ELB)" di bawah untuk panduan tambahan.

AMI Amazon Linux dan AMI Amazon Linux 2

AMI Amazon Linux yang diperbarui akan tersedia dalam waktu dekat. Kami akan memperbarui buletin ini saat AMI tersebut tersedia untuk digunakan.

Kernel yang diperbarui untuk AMI Amazon Linux dan Amazon Linux 2 akan segera tersedia dalam repositori Amazon Linux. Pelanggan dengan instans EC2 yang saat ini menjalankan Amazon Linux harus menjalankan perintah berikut pada tiap instans EC2 yang menjalankan Amazon Linux untuk memastikan bahwa semua instans telah menerima paket pembaruan:

kernel pembaruan sudo yum

Seperti standar untuk pembaruan kernel Linux mana pun, setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.

Informasi lebih lanjut akan segera tersedia di Pusat Keamanan Amazon Linux.

Elastic Load Balancing (ELB)

Network Load Balancer (NLB) tidak memfilter lalu lintas. Instans EC2 berbasis Linux yang menggunakan NLB memerlukan patch sistem operasi untuk memitigasi potensi masalah DoS yang terkait dengan masalah ini. Kernel yang diperbarui untuk Amazon Linux kini telah tersedia, dan instruksi untuk memperbarui instans EC2 yang saat ini menjalankan Amazon Linux tersedia di atas. Pelanggan yang tidak menggunakan Amazon Linux harus menghubungi vendor sistem operasi mereka untuk mendapatkan pembaruan atau instruksi yang diperlukan guna memitigasi potensi masalah DoS.

Instans EC2 berbasis Linux yang menggunakan Classic Load Balancer Elastic Load Balancing (ELB) dan Application Load Balancer tidak memerlukan tindakan pelanggan apa pun. ELB Classic and ALB akan memfilter lalu lintas masuk untuk memitigasi potensi masalah DoS terhadap masalah ini.

Amazon WorkSpaces (Linux)

Seluruh Amazon Linux WorkSpaces baru akan diluncurkan bersama kernel yang diperbarui. Kernel yang diperbarui untuk Amazon Linux 2 telah diinstal untuk Amazon Linux WorkSpaces yang ada.

Seperti standar untuk pembaruan kernel Linux mana pun, reboot diperlukan agar pembaruan dapat berfungsi. Kami menganjurkan agar pelanggan segera melakukan reboot secara manual. Jika tidak, Amazon Linux WorkSpaces akan di-reboot secara otomatis antara pukul 00.00 hingga 04.00 waktu setempat pada 18 Juni.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Seluruh klaster Amazon EKS yang sedang berjalan terlindungi dari masalah ini. Amazon EKS mempublikasikan pembaruan Amazon Machine Images (AMI) yang dioptimalkan EKS dengan kernel Amazon Linux 2 yang di-patch pada 17 Juni 2019. Informasi lebih lanjut tentang AMI yang dioptimalkan EKS tersedia di https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.

Kami menganjurkan agar pelanggan EKS mengganti seluruh node pekerja agar menggunakan versi terbaru dari AMI yang dioptimalkan EKS. Intruksi tentang cara memperbarui node pekerja tersedia di https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.

AWS Elastic Beanstalk

Platform berbasis Linux AWS Elastic Beanstalk yang telah diperbarui akan tersedia pada 17 Juni 2019. Buletin ini akan diperbarui saat versi platform baru telah tersedia. Pelanggan yang menggunakan Pembaruan Platform Terkelola secara otomatis akan diperbarui ke versi platform terbaru pada jendela pemeliharaan pilihan mereka tanpa memerlukan tindakan lainnya. Selain itu, pelanggan yang menggunakan Pembaruan Platform Terkelola dapat mengajukan sendiri pembaruan yang tersedia lebih awal dibanding jendela pemeliharaan yang dipilih dengan membuka halaman konfigurasi Pembaruan Terkelola dan mengeklik tombol "Ajukan Sekarang".

Pelanggan yang belum mengaktifkan Pembaruan Platform Terkelola harus memperbarui versi platform lingkungan mereka dengan mengikuti instruksi di atas. Informasi lebih lanjut tentang Pembaruan Platform Terkelola tersedia di https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html

Amazon ElastiCache

Amazon ElastiCache meluncurkan klaster instans Amazon EC2 yang menjalankan Amazon Linux ke dalam VPC pelanggan. Secara default, koneksi TCP yang tidak tepercaya tidak akan diterima dan tidak terpengaruh oleh masalah ini.

Pelanggan yang telah membuat perubahan pada konfigurasi VPC ElastiCache default harus memastikan bahwa grup keamanan ElastiCache mereka mengikuti praktik terbaik keamanan yang dianjurkan AWS, dengan mengonfigurasinya untuk memblokir lalu lintas dari klien yang tidak tepercaya guna memitigasi potensi masalah DoS. Informasi lebih lanjut tentang konfigurasi VPC ElastiCache tersedia di https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.

Pelanggan yang memiliki klaster ElastiCache berjalan di luar VPC mereka, dan telah membuat perubahan pada konfigurasi default, harus mengonfigurasi akses tepercaya menggunakan grup keamanan ElastiCache. Untuk informasi lebih lanjut tentang cara membuat grup keamanan ElastiCache, lihat https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html

Tim ElastiCache akan segera merilis patch baru, yang dapat menyelesaikan masalah. Setelah patch ini tersedia, kami akan memberi tahu pelanggan bahwa patch siap untuk diterapkan. Kemudian pelanggan dapat memilih untuk mempebarui klaster mereka dengan fitur pembaruan mandiri ElastiCache. Informasi lebih lanjut tentang pembaruan patch mandiri ElastiCache tersedia di https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.

Amazon EMR

Amazon EMR meluncurkan klaster instans Amazon EC2 yang menjalankan Amazon Linux ke dalam VPC pelanggan atas nama mereka. Secara default, koneksi TCP yang tidak tepercaya tidak akan diterima oleh klaster ini, oleh karena itu tidak terpengaruh oleh masalah ini.

Pelanggan yang telah membuat perubahan pada konfigurasi VPC EMR default harus memastikan bahwa grup keamanan EMR mereka mengikuti praktik terbaik keamanan yang dianjurkan AWS; memblokir lalu lintas dari klien yang tidak tepercaya guna memitigasi potensi masalah DoS. Lihat https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html untuk informasi lebih lanjut tentang grup keamanan EMR.

Pelanggan yang memilih untuk tidak mengonfigurasi grup keamanan EMR sesuai dengan praktik terbaik keamanan yang dianjurkan AWS (atau yang memerlukan patch sistem operasi untuk memenuhi kebijakan keamanan tambahan), dapat mengikuti instruksi di bawah untuk memperbarui klaster EMR baru atau yang sudah ada guna memitigasi masalah ini. CATATAN: Pembaruan ini akan memerlukan reboot instans klaster dan dapat memengaruhi aplikasi yang sedang berjalan. Pelanggan sebaiknya tidak memulai ulang klaster hingga mereka merasa perlu untuk melakukannya:

Untuk klaster baru, gunakan tindakan bootstrap EMR untuk memperbarui kernel Linux dan me-reboot tiap instans. Informasi lebih lanjut tentang tindakan bootstrap EMR tersedia di https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html

Untuk klaster yang sudah ada, perbarui kernel Linux di tiap instans di dalam klaster dan reboot mereka secara bergiliran.