보안 우려 사항: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
업데이트 날짜: 2018년 3월 5일 오후 3시(PST)
이 문제를 해결하기 위한 업데이트입니다.
Amazon Linux용 업데이트된 커널을 Amazon Linux 리포지토리 내에서 사용할 수 있습니다. 2018년 1월 13일 이후에 기본 Amazon Linux 구성으로 출시된 EC2 인스턴스에는 업데이트된 패키지가 자동으로 포함됩니다. 이 업데이트 패키지는 커널 내의 CVE-2017-5715를 해결하기 위한 최신의 안정적인 오픈 소스 Linux 보안 향상이 통합되었으며, CVE-2017-5754를 해결한 이전의 통합 Kernel Page Table Isolation(KPTI)을 기반으로 구축되었습니다. 인스턴스 내의 CVE-2017-5715 프로세스 간 보안 우려 사항 및 CVE-2017-5754 프로세스와 커널 간 보안 우려 사항을 효과적으로 완화하려면 고객이 최신 Amazon Linux 커널 또는 AMI로 업그레이드해야 합니다. 자세한 내용은 ‘Processor Speculative Execution – Operating System Updates’를 참조하세요.
PV(반가상화) 인스턴스에 대한 보안 우려 사항은 아래의 "PV 인스턴스 지침"을 참조하십시오.
Amazon EC2
Amazon EC2 플릿의 모든 인스턴스는 CVE-2017-5715, CVE-2017-5753 및 CVE-2017-5754의 모든 알려진 인스턴스 간 보안 우려 사항으로부터 보호됩니다. 인스턴스 간 보안 우려 사항은 신뢰할 수 없는 인접 인스턴스가 다른 인스턴스 또는 AWS 하이퍼바이저의 메모리를 읽을 수 있다고 가정합니다. 이 문제는 AWS 하이퍼바이저에서는 해결되어 이제 어떤 인스턴스도 다른 인스턴스의 메모리를 읽거나, AWS 하이퍼바이저의 메모리를 읽을 수 없습니다. 앞에서 언급한 바와 같이 대부분의 EC2 워크로드에서 의미 있는 성능상의 영향을 목격하지 못했습니다.
2018년 1월 12일 AWS는 Intel 마이크로코드 업데이트로 인한 몇 가지 중단 및 기타 예측할 수 없는 동작이 목격되는 AWS의 플랫폼에 대해 새 Intel CPU 마이크로코드의 일부를 비활성화하는 작업을 마쳤습니다. 이 변경을 통해 해당하는 몇몇 인스턴스에서 이러한 문제가 완화되었습니다.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce 및 Amazon Lightsail에 대해 권장되는 고객 조치
모든 고객 인스턴스는 위에서 설명한 것처럼 보호되지만, 고객이 해당 인스턴스 운영 체제에 패치를 적용하여 이 문제와 관련된 프로세스 간 또는 프로세스와 커널 간 보안 우려 사항을 해결하는 것이 좋습니다. Amazon Linux 및 Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE 및 Ubuntu에 대한 자세한 안내와 지침은 ‘Processor Speculative Execution – Operating System Updates’를 참조하세요.
PV 인스턴스 지침
이 문제를 해결하기 위해 제공된 운영 체제 패치에 대한 지속적인 연구와 심층 분석을 수행한 후 AWS는 운영 체제 보호만으로는 PV(반가상화) 인스턴스 내의 프로세스 간 보안 우려 사항을 해결하는 데 충분하지 않다는 결론을 내렸습니다. 위에서 설명한 것처럼 PV 인스턴스는 AWS 하이퍼바이저를 통해 모든 인스턴스 간 보안 우려 사항으로부터 보호되지만, 해당 PV 인스턴스 내에서 프로세스 격리(예: 신뢰할 수 없는 데이터 처리, 신뢰할 수 없는 코드 실행, 신뢰할 수 없는 사용자 호스트)를 원하는 고객은 장기적인 보안 강화를 위해 HVM 인스턴스 유형으로 마이그레이션하기를 강력하게 권장합니다.
PV와 HVM의 차이에 대한 자세한 내용 및 인스턴스 업그레이드 경로 설명서를 보려면 다음 항목을 참조하십시오.
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
PV 인스턴스의 업그레이드 경로와 관련하여 도움이 필요한 경우 지원을 요청하세요.
기타 AWS 서비스에 대한 업데이트
다음은 고객을 대신하여 관리되는 EC2 인스턴스에 패치를 적용해야 하지만 모든 작업이 완료되어 고객 조치가 필요하지 않은 서비스입니다.
- Fargate
- Lambda
아래에서 달리 설명하지 않는 한, 다른 모든 AWS 서비스는 고객 조치가 필요하지 않습니다.
ECS Optimized AMI
AWS는 이 문제를 해결하기 위한 모든 Amazon Linux 보호가 통합된 Amazon ECS Optimized AMI 버전 2017.09.g를 발표했습니다. 모든 Amazon ECS 고객은 AWS Marketplace에서 제공하는 이 최신 버전으로 업그레이드하는 것이 좋습니다.
기존 ECS Optimized AMI 인스턴스로 업데이트하는 고객은 다음 명령을 실행하여 업데이트된 패키지를 받아야 합니다.
sudo yum update kernel
다른 Linux 커널 업데이트와 마찬가지로, yum 업데이트가 완료된 후에 시스템을 재부팅해야 업데이트가 적용됩니다.
ECS Optimized AMI를 사용하지 않는 Linux 고객은 필요한 경우 대체/타사 운영 체제, 소프트웨어 또는 AMI 공급업체에 문의하여 업데이트 및 지침을 확인하는 것이 좋습니다. Amazon Linux 관련 지침은 Amazon Linux AMI 보안 센터에서 확인할 수 있습니다.
AWS는 Amazon ECS Optimized Windows AMI 버전 2018.01.10을 발표했습니다. 실행 중인 인스턴스에 이러한 패치를 적용하는 방법에 대한 자세한 내용은 ‘Processor Speculative Execution – Operating System Updates’를 참조하세요.
Elastic Beanstalk
AWS는 이 문제를 해결하기 위한 모든 Amazon Linux 보호를 포함하도록 모든 Linux 기반 플랫폼을 업데이트했습니다. 구체적인 플랫폼 버전은 릴리스 정보를 참조하세요. Elastic Beanstalk 고객은 환경을 사용 가능한 최신 플랫폼 버전으로 업데이트하는 것이 좋습니다. 관리형 업데이트를 사용하는 환경은 구성된 유지 관리 기간 중에 자동으로 업데이트됩니다.
Windows 기반 플랫폼도 이 문제를 해결하기 위한 모든 EC2 Windows 보호를 포함하도록 업데이트되었습니다. 고객은 Windows 기반 Elastic Beanstalk 환경을 사용 가능한 최신 플랫폼 구성으로 업데이트하는 것이 좋습니다.
ElastiCache
ElastiCache 관리형 고객 캐시 노드는 각각 고객이 액세스할 수 있는 다른 프로세스가 없고 고객이 기본 인스턴스에서 코드를 실행할 수 없는 경우 단일 고객에 대해서만 캐시 엔진을 실행하는 데 사용됩니다. AWS는 ElastiCache를 기반으로 하는 모든 인프라를 보호하는 작업을 마쳤으므로 이 문제와 관련된 프로세스와 커널 간 또는 프로세스 간 보안 우려 사항으로 인해 고객에게 위험이 야기되지 않습니다. ElastiCache가 지원하는 두 캐시 엔진 모두 현재까지 알려진 프로세스 간 보안 우려 사항이 없는 것으로 보고되었습니다.
EMR
Amazon EMR은 고객을 대신하여 Amazon Linux를 실행하는 Amazon EC2 인스턴스 클러스터를 고객의 계정으로 시작합니다. Amazon EMR 클러스터 인스턴스 내에서 프로세스 격리를 원하는 고객은 위에서 권장한 대로 최신 Amazon Linux 커널로 업그레이드해야 합니다. AWS는 최신 Amazon Linux 커널을 새로운 마이너 릴리스 5.11.1, 5.8.1, 5.5.1 및 4.9.3에 통합했습니다. 고객은 이러한 릴리스를 통해 새 Amazon EMR 클러스터를 생성할 수 있습니다.
최신 Amazon EMR 릴리스 및 고객이 보유하고 있을 수 있는 관련 실행 중인 인스턴스의 경우, 위에서 권장한 대로 최신 Amazon Linux 커널로 업데이트하는 것이 좋습니다. 새 클러스터의 경우 고객이 부트스트랩 작업을 통해 Linux 커널을 업데이트하고 각 인스턴스를 재부팅할 수 있습니다. 실행 중인 클러스터의 경우 Linux 커널 업데이트를 사용하고 클러스터의 각 인스턴스를 순차적으로 다시 시작하면 됩니다. 특정 프로세스를 다시 시작할 경우 클러스터 내의 실행 중인 애플리케이션에 영향을 줄 수 있음에 유의하시기 바랍니다.
RDS
RDS 관리형 고객 데이터베이스 인스턴스는 각각 고객이 액세스할 수 있는 다른 프로세스가 없고 고객이 기본 인스턴스에서 코드를 실행할 수 없는 경우 단일 고객에 대해서만 데이터베이스 엔진을 실행하는 데 사용됩니다. AWS는 RDS를 기반으로 하는 모든 인프라를 보호하는 작업을 마쳤으므로 이 문제와 관련된 프로세스와 커널 간 또는 프로세스 간 보안 우려 사항으로 인해 고객에게 위험이 야기되지 않습니다. RDS가 지원하는 대부분의 데이터베이스 엔진은 현재까지 알려진 프로세스 간 보안 우려 사항이 없는 것으로 보고되었습니다. 다음은 데이터베이스 엔진별 추가적인 세부 정보이며 달리 설명하지 않는 한 고객 조치가 필요하지 않습니다.
SQL Server 용 RDS 데이터베이스 인스턴스의 경우, AWS는 다음 엔진 버전에서 Microsoft의 패치가 포함된 OS 및 엔진 패치를 발표했습니다.
SQL Server 2017(14.00.3015.40.v1)
SQL Server 2016(13.00.4466.4.v1)
SQL Server 2014(12.00.5571.0.v1)
SQL Server 2012(11.00.7462.6.v1)
SQL Server 2008 R2(10.50.6560.0.v1)
고객은 이러한 패치 적용에 관한 Microsoft의 지침을 검토하고 원하는 시간에 적용해야 합니다.
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
RDS PostgreSQL 및 Aurora PostgreSQL의 경우, 기본 구성으로 실행 중인 DB 인스턴스는 현재 고객 조치가 필요하지 않습니다. plv8 확장 프로그램 사용자의 경우 적절한 패치가 준비되는 대로 제공할 예정입니다. 패치가 준비되는 동안 plv8 확장 프로그램을 활성화(기본적으로 비활성화됨)한 고객은 plv8 확장 프로그램을 비활성화하고 https://github.com/v8/v8/wiki/Untrusted-code-mitigations에서 V8 관련 지침을 검토해야 합니다.
MariaDB용 RDS, MySQL용 RDS, Aurora MySQL용 RDS 및 Oracle용 RDS 데이터베이스 인스턴스는 현재 고객 조치가 필요하지 않습니다.
VMware Cloud on AWS
VMware에 따르면 "2017년 12월 초부터 VMSA-2018-0002에 설명된 수정 조치가 VMware Cloud on AWS에 제공되었습니다."
자세한 내용은 VMware Security & Compliance Blog를 참조하고 업데이트 상태는 https://status.vmware-services.io를 참조하세요.
WorkSpaces
Windows Server 2008 R2에서 Windows 7 환경을 실행하는 고객:
Microsoft는 이 문제와 관련하여 Windows Server 2008 R2용 새 보안 업데이트를 발표했습니다. 이러한 업데이트를 성공적으로 제공하려면 Microsoft 보안 업데이트(https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software)에 설명된 대로 호환되는 바이러스 백신 소프트웨어가 서버에서 실행되고 있어야 합니다. WorkSpaces 고객은 이러한 업데이트를 받기 위해 필요한 조치를 취해야 합니다. Microsoft의 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 페이지에서 제공하는 지침을 따르세요.
Windows Server 2016에서 Windows 10 환경을 실행하는 고객:
AWS는 Windows Server 2016에서 Windows 10 환경을 실행하는 WorkSpaces에 보안 업데이트를 적용했습니다. Windows 10에는 이러한 보안 업데이트와 호환되는 Windows Defender 바이러스 백신 소프트웨어가 내장되어 있습니다. 추후 고객 조치는 필요하지 않습니다.
BYOL 및 수정된 기본 업데이트 설정을 사용하는 고객:
WorkSpaces Bring Your Own License(BYOL) 기능을 사용하는 고객과 WorkSpaces에서 기본 업데이트 설정을 변경한 고객은 Microsoft에서 제공하는 보안 업데이트를 수동으로 적용해야 합니다. 이에 해당하는 고객은 Microsoft 보안 공지(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002)에서 제공하는 지침을 따르세요. 이 보안 공지에는 구체적인 추가 정보를 제공하는 Windows Server 및 Windows 클라이언트 운영 체제용 기술 자료 문서에 대한 링크가 포함되어 있습니다.
곧 업데이트된 WorkSpaces 번들이 보안 업데이트와 함께 제공될 예정입니다. 사용자 지정 번들을 생성한 고객은 보안 업데이트를 포함하도록 번들을 직접 업데이트해야 합니다. 업데이트가 없는 번들에서 시작된 새 WorkSpaces는 시작 후 곧 패치를 받게 됩니다. 단, 고객이 WorkSpaces에서 기본 업데이트 설정을 변경했거나 호환되지 않는 바이러스 백신 소프트웨어를 설치한 경우는 예외이며 이때는 위의 단계에 따라 Microsoft에서 제공한 보안 업데이트를 수동으로 적용해야 합니다.
WorkSpaces Application Manager(WAM)
다음 작업 중 하나를 선택하는 것이 좋습니다.
옵션 1: Microsoft의 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 페이지에 나와 있는 단계에 따라, WAM Packager 및 Validator의 실행 중인 인스턴스에서 Microsoft 업데이트를 수동으로 적용합니다. 이 페이지에서는 자세한 지침 및 관련 다운로드를 제공합니다.
옵션 2: 기존 Packager 및 Validator 인스턴스를 종료합니다. "Amazon WAM Admin Studio 1.5.1" 및 "Amazon WAM Admin Player 1.5.1"이라는 레이블이 지정된 업데이트된 AMI를 사용하여 새 인스턴스를 시작합니다.