Pembaruan Terakhir: 17 Juni 2019 17.00 PDT
Pengidentifikasi CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Ini merupakan pembaruan untuk masalah ini.
AWS Elastic Beanstalk
Versi platform AWS Elastic Beanstalk berbasis Linux yang telah diperbarui telah tersedia. Pelanggan yang menggunakan Pembaruan Platform Terkelola secara otomatis akan diperbarui ke versi platform terbaru pada jendela pemeliharaan pilihan mereka tanpa memerlukan tindakan lainnya. Selain itu, pelanggan yang menggunakan Pembaruan Platform Terkelola dapat mengajukan sendiri pembaruan yang tersedia lebih awal dibanding jendela pemeliharaan yang dipilih dengan membuka halaman konfigurasi Pembaruan Terkelola dan mengeklik tombol "Ajukan Sekarang".
Pelanggan yang belum mengaktifkan Pembaruan Platform Terkelola harus memperbarui versi platform lingkungan mereka dengan mengikuti instruksi di atas. Informasi lebih lanjut tentang Pembaruan Platform Terkelola tersedia di https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux dan Amazon Linux 2
Kernel Linux yang diperbarui untuk Amazon Linux tersedia di repositori Amazon Linux, dan AMI Amazon Linux yang diperbarui telah tersedia untuk digunakan. Pelanggan dengan instans EC2 yang saat ini menjalankan Amazon Linux harus menjalankan perintah berikut pada tiap instans EC2 yang menjalankan Amazon Linux untuk memastikan bahwa semua instans telah menerima paket pembaruan:
kernel pembaruan sudo yum
Seperti standar untuk pembaruan kernel Linux mana pun, setelah pembaruan yum selesai, reboot diperlukan agar pembaruan dapat berfungsi.
Pelanggan yang tidak menggunakan Amazon Linux harus menghubungi vendor sistem operasi mereka untuk mendapat pembaruan atau instruksi yang diperlukan guna memitigasi potensi masalah DoS terhadap masalah ini. Informasi lebih lanjut tersedia di Pusat Keamanan Amazon Linux.
Amazon Elastic Compute Cloud (EC2)
Pelanggan instans berbasis Linux EC2 baik yang memulai atau secara langsung menerima koneksi TCP ke atau dari pihak tidak tepercaya, contoh: Internet, memerlukan patch sistem operasi untuk memitigasi potensi masalah DoS terhadap masalah ini. CATATAN: Pelanggan yang menggunakan Amazon Elastic Load Balancing (ELB) harus membaca "Elastic Load Balancing (ELB)" di bawah untuk panduan tambahan.
Elastic Load Balancing (ELB)
Network Load Balancer (NLB) TCP tidak memfilter lalu lintas, kecuali mereka dikonfigurasi untuk menghentikan sesi TLS. NLB yang dikonfigurasi untuk menghentikan sesi TLS tidak memerlukan tindakan pelanggan tambahan guna memitigasi masalah ini.
Instans EC2 berbasis Linux yang menggunakan NLB TCP dan tidak menghentikan sesi TLS memerlukan patch sistem operasi untuk memitigasi potensi masalah DoS yang terkait dengan masalah ini. Kernel yang diperbarui untuk Amazon Linux kini telah tersedia, dan instruksi untuk memperbarui instans EC2 yang saat ini menjalankan Amazon Linux tersedia di atas. Pelanggan yang tidak menggunakan Amazon Linux harus menghubungi vendor sistem operasi mereka untuk mendapat pembaruan atau instruksi yang diperlukan guna memitigasi potensi masalah DoS.
Instans EC2 berbasis Linux yang menggunakan Classic Load Balancers, Application Load Balancers, atau Network Load Balancers Elastic Load Balancing (ELB) dengan Penghentian TLS (NLB TLS) tidak memerlukan tindakan pelanggan apa pun. ELB Classic dan ALB akan memfilter lalu lintas masuk untuk memitigasi potensi masalah DoS terhadap masalah ini.
Amazon WorkSpaces (Linux)
Seluruh Amazon Linux WorkSpaces baru akan diluncurkan bersama kernel yang diperbarui. Kernel yang diperbarui untuk Amazon Linux 2 telah diinstal untuk Amazon Linux WorkSpaces yang ada.
Seperti standar untuk pembaruan kernel Linux mana pun, reboot diperlukan agar pembaruan dapat berfungsi. Kami menganjurkan agar pelanggan segera melakukan reboot secara manual. Jika tidak, Amazon Linux WorkSpaces akan di-reboot secara otomatis antara pukul 00.00 hingga 04.00 waktu setempat pada 18 Juni.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Seluruh klaster Amazon EKS yang sedang berjalan terlindungi dari masalah ini. Amazon EKS mempublikasikan pembaruan Amazon Machine Images (AMI) yang dioptimalkan EKS dengan kernel Amazon Linux 2 yang di-patch pada 17 Juni 2019. Informasi lebih lanjut tentang AMI yang diptimalkan EKS tersedia di https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Kami menganjurkan agar pelanggan EKS mengganti seluruh node pekerja agar menggunakan versi terbaru dari AMI yang dioptimalkan EKS. Intruksi tentang cara memperbarui node pekerja tersedia di https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Amazon ElastiCache
Amazon ElastiCache meluncurkan klaster instans Amazon EC2 yang menjalankan Amazon Linux ke dalam VPC pelanggan. Secara default, koneksi TCP yang tidak tepercaya tidak akan diterima dan tidak terpengaruh oleh masalah ini.
Pelanggan yang telah membuat perubahan pada konfigurasi VPC ElastiCache default harus memastikan bahwa grup keamanan ElastiCache mereka mengikuti praktik terbaik keamanan yang dianjurkan AWS, dengan mengonfigurasinya untuk memblokir lalu lintas jaringan dari klien yang tidak tepercaya guna memitigasi potensi masalah DoS. Informasi lebih lanjut tentang konfigurasi VPC ElastiCache tersedia di https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Pelanggan yang memiliki klaster ElastiCache berjalan di luar VPC mereka, dan telah membuat perubahan pada konfigurasi default, harus mengonfigurasi akses tepercaya menggunakan grup keamanan ElastiCache. Untuk informasi lebih lanjut tentang cara membuat grup keamanan ElastiCache, lihat https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
Tim ElastiCache akan segera merilis patch baru, yang dapat menyelesaikan masalah. Setelah patch ini tersedia, kami akan memberi tahu pelanggan bahwa patch siap untuk diterapkan. Kemudian pelanggan dapat memilih untuk mempebarui klaster mereka dengan fitur pembaruan mandiri ElastiCache. Informasi lebih lanjut tentang pembaruan patch mandiri ElastiCache tersedia di https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR meluncurkan klaster instans Amazon EC2 yang menjalankan Amazon Linux ke dalam VPC pelanggan atas nama mereka. Secara default, koneksi TCP yang tidak tepercaya tidak akan diterima oleh klaster ini, oleh karena itu tidak terpengaruh oleh masalah ini.
Pelanggan yang telah membuat perubahan pada konfigurasi VPC EMR default harus memastikan bahwa grup keamanan EMR mereka mengikuti praktik terbaik keamanan yang dianjurkan AWS; memblokir lalu lintas jaringan dari klien yang tidak tepercaya guna memitigasi potensi masalah DoS. Lihat https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html untuk informasi lebih lanjut tentang grup keamanan EMR.
Pelanggan yang memilih untuk tidak mengonfigurasi grup keamanan EMR sesuai dengan praktik terbaik keamanan yang dianjurkan AWS (atau yang memerlukan patch sistem operasi untuk memenuhi kebijakan keamanan tambahan), dapat mengikuti instruksi di bawah untuk memperbarui klaster EMR baru atau yang sudah ada guna memitigasi masalah ini. CATATAN: Pembaruan ini akan memerlukan reboot instans klaster dan dapat memengaruhi aplikasi yang sedang berjalan. Pelanggan sebaiknya tidak memulai ulang klaster hingga mereka merasa perlu untuk melakukannya:
Untuk klaster baru, gunakan tindakan bootstrap EMR untuk memperbarui kernel Linux dan me-reboot tiap instans. Informasi lebih lanjut tentang tindakan bootstrap EMR tersedia di https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Untuk klaster yang sudah ada, perbarui kernel Linux di tiap instans di dalam klaster dan reboot mereka secara bergiliran.