현재 이 보안 공지의 이전 버전을 보고 계십니다. 최신 버전은 "Processor Speculative Execution Research Disclosure"를 참조하십시오.

보안 우려 사항: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

업데이트 날짜: 2018년 1월 13일 13:00 PST

이 문제를 해결하기 위한 업데이트입니다.

Amazon Linux의 두 번째 커널 릴리스가 공개되었습니다. 이것은 KPTI 버그를 해결하고 CVE-2017-5754의 완화 요소를 개선합니다. 인스턴스 내의 CVE-2017-5754 프로세스 간 보안 우려 사항을 효과적으로 완화하려면 고객이 최신 Amazon Linux 커널 또는 AMI로 업그레이드해야 합니다. 자세한 내용은 아래의 “Amazon Linux AMI” 정보를 참조하십시오.  

PV(반가상화) 인스턴스에 대한 보안 우려 사항은 아래의 "PV 인스턴스 지침"을 참조하십시오.

Amazon EC2

Amazon EC2 플릿의 모든 인스턴스는 이전에 표시된 모든 알려진 CVE 인스턴스 간 보안 우려 사항으로부터 보호됩니다. 인스턴스 간 보안 우려 사항은 신뢰할 수 없는 인접 인스턴스가 다른 인스턴스 또는 AWS 하이퍼바이저의 메모리를 읽을 수 있다고 가정합니다. 이 문제는 AWS 하이퍼바이저에서는 해결되어 이제 어떤 인스턴스도 다른 인스턴스의 메모리를 읽거나, AWS 하이퍼바이저의 메모리를 읽을 수 없습니다. 앞에서 언급한 바와 같이 대부분의 EC2 워크로드에서 의미 있는 성능상의 영향을 목격하지 못했습니다.

인텔 마이크로코드 업데이트로 인해 적게 나마 인스턴스와 애플리케이션 충돌이 발생하는 것을 확인했고, 이 문제를 겪은 고객과 직접 연락해 도움을 드리고 있습니다. AWS의 플랫폼을 위한 새 인텔 CPU 마이크로코드 중 이 같은 문제가 확인된 부분을 비활성화하는 작업을 방금 마쳤습니다. 이 작업을 통해 해당 인스턴스에 대한 문제가 완화된 것으로 나타났습니다. Amazon EC2 플릿 전반에 걸쳐 모든 인스턴스가 알려진 모든 위협 매개체로부터 지속적으로 보호됩니다. 비활성화된 인텔 마이크로코드가 문제 CVE-2017-5715로 인한 이론상 위협 매개체에 대해 추가적인 보호를 제공했습니다. 인텔에서 조만간 업데이트된 마이크로코드를 제공하게 되면 그 시기에 맞춰 지금까지 작업해 온 추가 성능 최적화와 더불어 이러한 추가 보호를 다시 활성화하려 합니다.

AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce 및 Amazon Lightsail에 대해 권장되는 고객 조치

모든 고객 인스턴스가 위에 설명한 것처럼 보호되지만, 고객이 인스턴스 운영 체제에 패치를 적용하여 같은 인스턴스 내에서 실행 중인 소프트웨어를 격리함으로써 CVE-2017-5754의 프로세스 간 보안 우려 사항을 완화하는 것이 좋습니다. 자세한 내용은 패치 가용성과 배포에 관한 각 공급업체 지침을 참조하시기 바랍니다.

공급업체별 지침:

목록에 없는 운영 체제의 경우, 고객이 이용하는 운영 체제 또는 AMI 공급업체에 업데이트 및 지침을 문의하시기 바랍니다.

PV 인스턴스 지침

이 문제를 해결하기 위해 제공된 운영 체제 패치에 대한 지속적인 연구와 심층 분석을 수행한 후 AWS는 운영 체제 보호만으로는 PV(반가상화) 인스턴스 내의 프로세스 간 보안 우려 사항을 해결하는 데 충분하지 않다는 결론을 내렸습니다. 위에서 설명한 것처럼 PV 인스턴스는 AWS 하이퍼바이저를 통해 모든 인스턴스 간 보안 우려 사항으로부터 보호되지만, 해당 PV 인스턴스 내에서 프로세스 격리(예: 신뢰할 수 없는 데이터 처리, 신뢰할 수 없는 코드 실행, 신뢰할 수 없는 사용자 호스트)를 원하는 고객은 장기적인 보안 강화를 위해 HVM 인스턴스 유형으로 마이그레이션하기를 강력하게 권장합니다.

PV와 HVM의 차이에 대한 자세한 내용 및 인스턴스 업그레이드 경로 설명서를 보려면 다음 항목을 참조하십시오.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

PV 인스턴스의 업그레이드 경로와 관련하여 도움이 필요한 경우 지원을 요청하십시오.

기타 AWS 서비스에 대한 업데이트

다음은 고객을 대신하여 관리되는 EC2 인스턴스에 패치를 적용해야 하지만 모든 작업이 완료되어 고객 조치가 필요하지 않은 서비스입니다.

  • Fargate
  • Lambda

아래에서 달리 설명하지 않는 한, 다른 모든 AWS 서비스는 고객 조치가 필요하지 않습니다.

Amazon Linux AMI(공지 ID: ALAS-2018-939)

Amazon Linux용 업데이트된 커널을 Amazon Linux 리포지토리 내에서 사용할 수 있습니다. 2018년 1월 8일 이후(당일 포함) 기본 Amazon Linux 구성으로 시작된 EC2 인스턴스에는 KPTI 버그를 해결하고 CVE-2017-5754 완화 요소를 개선하여 업데이트된 패키지가 자동으로 포함됩니다.

참고: 최신 Amazon Linux 커널 또는 AMI로 업그레이드해야만 인스턴스 내의 CVE-2017-5754를 효과적으로 완화할 수 있습니다. Amazon Linux 개선 및 업데이트된 Amazon Linux AMI는 앞으로도 계속 제공할 예정이며, 여기에 Linux 커뮤니티에서 이 문제를 해결하기 위해 기여한 오픈 소스도 공개되는 대로 포함할 계획입니다.

기존 Amazon Linux AMI 인스턴스를 사용하는 고객은 다음 명령을 실행하여 업데이트된 패키지를 받아야 합니다.

sudo yum update kernel

다른 Linux 커널 업데이트와 마찬가지로, yum 업데이트가 완료된 후 시스템을 재부팅해야 업데이트가 적용됩니다.

이 공지에 대한 자세한 내용은 Amazon Linux AMI 보안 센터에서 확인할 수 있습니다.

Amazon Linux 2의 경우, 위에 설명된 Amazon Linux에 대한 지침을 따르십시오.

EC2 Windows

AWS Windows AMI를 업데이트하였습니다. 현재 고객이 이용할 수 있는 상태이며, AWS Windows AMI에는 필요한 패치를 설치하고 레지스트리 키를 활성화해 놓았습니다.

Microsoft에서 Server 2008R2, 2012R2 및 2016용으로 Windows 패치를 제공하였습니다. 패치는 Server 2016용 기본 제공 Windows Update Service를 통해 이용할 수 있습니다. Server 2003, 2008SP2 및 20112RTM에 대한 패치 가용성에 대해서는 Microsoft 측의 정보를 기다리고 있습니다.

“Automatic Updates”를 활성화한 EC2에서 Windows 인스턴스를 실행하는 고객의 경우 Windows용 필수 업데이트가 공개되면 자동 업데이트를 실행하여 이를 다운로드하고 설치해야 합니다.

참고로 Server 2008R2와 2012R2 패치는 현재 수동 다운로드가 필요한 Windows Update를 통해서는 이용할 수 없습니다. Microsoft에서는 이러한 패치를 1월 9일 화요일에 공개할 예정이라고 공지했지만, 아직 이용 가능성 여부에 대한 정보를 기다리는 중입니다.

“Automatic Updates”를 활성화하지 않고 EC2에서 Windows 인스턴스를 실행하는 AWS 고객의 경우 필수 업데이트가 공개되면 다음의 지침을 따라 수동으로 설치해야 합니다. http://windows.microsoft.com/en-us/windows7/install-windows-updates

참고로 Windows Server의 경우 이 문제에 대한 업데이트의 보호 기능을 활성화하기 위해 Microsoft에서 요구하는 추가 단계를 거쳐야 합니다. 자세한 내용은 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution의 설명을 참조하십시오.

ECS Optimized AMI

AWS는 위에 언급한 2차 Amazon Linux 커널 업데이트를 비롯해 이 문제를 해결하기 위한 모든 Amazon Linux 보호가 통합된 Amazon ECS Optimized AMI 버전 2017.09.g를 발표했습니다. 모든 Amazon ECS 고객은 AWS Marketplace에서 제공하는 이 최신 버전으로 업그레이드하는 것이 좋습니다. Amazon Linux 개선 사항이 제공되는 대로 계속 추가하도록 하겠습니다.

기존 ECS Optimized AMI 인스턴스로 업데이트하는 고객은 다음 명령을 실행하여 업데이트된 패키지를 받아야 합니다.

sudo yum update kernel

다른 Linux 커널 업데이트와 마찬가지로, yum 업데이트가 완료된 후에 시스템을 재부팅해야 업데이트가 적용됩니다.

ECS Optimized AMI를 사용하지 않는 Linux 고객은 필요한 경우 대체/타사 운영 체제, 소프트웨어 또는 AMI 공급업체에 문의하여 업데이트 및 지침을 확인하는 것이 좋습니다. Amazon Linux 관련 지침은 Amazon Linux AMI Security Center에서 확인할 수 있습니다.

Amazon ECS-optimized Windows AMI를 업데이트할 예정이며 공개되는 대로 이 공지를 업데이트하겠습니다. Microsoft에서 Server 2016용으로 Windows 패치를 제공하였습니다. 실행 중인 인스턴스에 패치를 적용하는 자세한 방법은 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution을 참조하십시오.

Elastic Beanstalk

AWS는 이 문제를 해결하기 위한 모든 Amazon Linux 보호를 포함하도록 모든 Linux 기반 플랫폼을 업데이트했습니다. 구체적인 플랫폼 버전은 릴리스 정보를 참조하십시오. Elastic Beanstalk 고객은 환경을 사용 가능한 최신 플랫폼 버전으로 업데이트하는 것이 좋습니다. 관리형 업데이트를 사용하는 환경은 구성된 유지 관리 기간 중에 자동으로 업데이트됩니다.

Windows 기반 플랫폼도 이 문제를 해결하기 위한 모든 EC2 Windows 보호를 포함하도록 업데이트되었습니다. 고객은 Windows 기반 Elastic Beanstalk 환경을 사용 가능한 최신 플랫폼 구성으로 업데이트하는 것이 좋습니다.

ElastiCache

ElastiCache 관리형 고객 캐시 노드는 각각 고객이 액세스할 수 있는 다른 프로세스가 없고 고객이 기본 인스턴스에서 코드를 실행할 수 없는 경우 단일 고객에 대해서만 캐시 엔진을 실행하는 데 사용됩니다. AWS는 ElastiCache를 기반으로 하는 모든 인프라를 보호하는 작업을 마쳤으므로 이 문제와 관련된 프로세스와 커널 간 또는 프로세스 간 보안 우려 사항으로 인해 고객에게 위험이 야기되지 않습니다. ElastiCache가 지원하는 두 캐시 엔진 모두 현재까지 알려진 프로세스 간 보안 우려 사항이 없는 것으로 보고되었습니다.

EMR

Amazon EMR은 고객을 대신하여 Amazon Linux를 실행하는 Amazon EC2 인스턴스 클러스터를 고객의 계정으로 시작합니다. Amazon EMR 클러스터 인스턴스 내에서 프로세스 격리를 원하는 고객은 위에서 권장한 대로 최신 Amazon Linux 커널로 업그레이드해야 합니다. 5.11.x 브랜치 및 4.9.x 브랜치의 새로운 마이너 릴리스에 최신 Amazon Linux 커널을 통합하는 과정을 진행하고 있습니다. 고객은 이러한 릴리스를 통해 새 Amazon EMR 클러스터를 생성할 수 있습니다. 이 릴리스가 제공되는 대로 이 공지를 업데이트할 것입니다.

최신 Amazon EMR 릴리스 및 고객이 보유하고 있을 수 있는 관련 실행 중인 인스턴스의 경우, 위에서 권장한 대로 최신 Amazon Linux 커널로 업데이트하는 것이 좋습니다. 새 클러스터의 경우 고객이 부트스트랩 작업을 통해 Linux 커널을 업데이트하고 각 인스턴스를 재부팅할 수 있습니다. 실행 중인 클러스터의 경우 Linux 커널 업데이트를 사용하고 클러스터의 각 인스턴스를 순차적으로 다시 시작하면 됩니다. 특정 프로세스를 다시 시작할 경우 클러스터 내의 실행 중인 애플리케이션에 영향을 줄 수 있음에 유의하시기 바랍니다.

RDS

RDS 관리형 고객 데이터베이스 인스턴스는 각각 고객이 액세스할 수 있는 다른 프로세스가 없고 고객이 기본 인스턴스에서 코드를 실행할 수 없는 경우 단일 고객에 대해서만 데이터베이스 엔진을 실행하는 데 사용됩니다. AWS는 RDS를 기반으로 하는 모든 인프라를 보호하는 작업을 마쳤으므로 이 문제와 관련된 프로세스와 커널 간 또는 프로세스 간 보안 우려 사항으로 인해 고객에게 위험이 야기되지 않습니다. RDS가 지원하는 대부분의 데이터베이스 엔진은 현재까지 알려진 프로세스 간 보안 우려 사항이 없는 것으로 보고되었습니다. 다음은 데이터베이스 엔진별 추가적인 세부 정보이며 달리 설명하지 않는 한 고객 조치가 필요하지 않습니다.

SQL Server 데이터베이스 인스턴스용 RDS의 경우 Microsoft에서 제공하는 시기에 맞춰 OS와 데이터베이스 엔진을 각각 출시해 고객이 원하는 때에 업그레이드할 수 있도록 합니다. 둘 중 하나가 완료되면 이 공지를 업데이트할 것입니다. 그 동안에 CLR(기본적으로 비활성화됨)을 활성화한 고객은 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server에서 CLR 확장 프로그램을 활성화하는 방법에 대한 Microsoft의 지침을 검토해야 합니다.

RDS PostgreSQL 및 Aurora PostgreSQL의 경우, 기본 구성으로 실행 중인 DB 인스턴스는 현재 고객 조치가 필요하지 않습니다. plv8 확장 사용자의 경우 적절한 패치가 준비되는 대로 제공할 예정입니다. 패치가 준비되는 동안 plv8 확장을 활성화(기본적으로 비활성화됨)한 고객은 plv8 확장을 비활성화하고 https://github.com/v8/v8/wiki/Untrusted-code-mitigations에서 V8 관련 지침을 검토해야 합니다.

MariaDB용 RDS, MySQL용 RDS, Aurora MySQL용 RDS 및 Oracle용 RDS 데이터베이스 인스턴스는 현재 고객 조치가 필요하지 않습니다.

VMware Cloud on AWS

VMware에 따르면 "2017년 12월 초부터 VMSA-2018-0002에 설명된 수정 조치가 VMware Cloud on AWS에 제공되었습니다."

자세한 내용은 VMware Security & Compliance Blog를 참조하고 업데이트 상태는 https://status.vmware-services.io를 참조하십시오.

WorkSpaces

Windows Server 2008 R2에서 Windows 7 환경을 실행하는 고객:

Microsoft는 이 문제와 관련하여 Windows Server 2008 R2용 새 보안 업데이트를 발표했습니다. 이러한 업데이트를 성공적으로 제공하려면 Microsoft 보안 업데이트(https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software)에 설명된 대로 호환되는 바이러스 백신 소프트웨어가 서버에서 실행되고 있어야 합니다. WorkSpaces 고객은 이러한 업데이트를 받기 위해 필요한 조치를 취해야 합니다. Microsoft의 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 페이지에서 제공하는 지침을 따르십시오.

Windows Server 2016에서 Windows 10 환경을 실행하는 고객:

AWS는 Windows Server 2016에서 Windows 10 환경을 실행하는 WorkSpaces에 보안 업데이트를 적용했습니다. Windows 10에는 이러한 보안 업데이트와 호환되는 Windows Defender 바이러스 백신 소프트웨어가 내장되어 있습니다. 고객 작업은 필요하지 않습니다.

BYOL 및 수정된 기본 업데이트 설정을 사용하는 고객:

WorkSpaces Bring Your Own License(BYOL) 기능을 사용하는 고객과 WorkSpaces에서 기본 업데이트 설정을 변경한 고객은 Microsoft에서 제공하는 보안 업데이트를 수동으로 적용해야 합니다. 이에 해당하는 고객은 Microsoft 보안 공지(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002)에서 제공하는 지침을 따르십시오. 이 보안 공지에는 구체적인 추가 정보를 제공하는 Windows Server 및 Windows 클라이언트 운영 체제용 기술 자료 문서에 대한 링크가 포함되어 있습니다.

곧 업데이트된 WorkSpaces 번들이 보안 업데이트와 함께 제공될 예정입니다. 사용자 지정 번들을 생성한 고객은 보안 업데이트를 포함하도록 번들을 직접 업데이트해야 합니다. 업데이트가 없는 번들에서 시작된 새 WorkSpaces는 시작 후 곧 패치를 받게 됩니다. 단, 고객이 WorkSpaces에서 기본 업데이트 설정을 변경했거나 호환되지 않는 바이러스 백신 소프트웨어를 설치한 경우는 예외이며 이때는 위의 단계에 따라 Microsoft에서 제공한 보안 업데이트를 수동으로 적용해야 합니다.

WorkSpaces Application Manager(WAM)

다음 작업 중 하나를 선택하는 것이 좋습니다.

옵션 1: Microsoft의 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 페이지에 나와 있는 단계에 따라, WAM Packager 및 Validator의 실행 중인 인스턴스에서 Microsoft 업데이트를 수동으로 적용합니다. 이 페이지에서는 자세한 지침 및 관련 다운로드를 제공합니다.

옵션 2: 기존 Packager 및 Validator 인스턴스를 종료합니다. "Amazon WAM Admin Studio 1.5.1" 및 "Amazon WAM Admin Player 1.5.1"이라는 레이블이 지정된 업데이트된 AMI를 사용하여 새 인스턴스를 시작합니다.