현재 이 보안 공지의 이전 버전을 보고 계십니다. 최신 버전은 "Processor Speculative Execution Research Disclosure"를 참조하십시오.
보안 우려 사항: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
업데이트 날짜: 2018년 1월 5일 13:30 PST
이 문제를 해결하기 위한 업데이트입니다.
Amazon EC2
Amazon EC2 플릿 전반에 걸쳐 모든 인스턴스가 이전에 표시된 모든 CVE의 모든 알려진 위협 매개체로부터 보호됩니다. 고객 인스턴스는 다른 인스턴스로부터 이러한 위협에 맞서 보호됩니다. 대부분의 EC2 워크로드에서 의미 있는 성능상의 영향이 발견되지 않았습니다.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce 및 Amazon Lightsail에 대해 권장되는 고객 조치
고객 인스턴스는 모두 보호되지만, 인스턴스 운영 체제를 패치하는 것이 좋습니다. 이렇게 하면 이러한 운영 체제가 제공하는 보호 기능이 강화되어 같은 인스턴스 내에서 실행되는 소프트웨어를 격리합니다. 자세한 내용은 패치 가용성과 배포에 관한 각 공급업체 지침을 참조하시기 바랍니다.
공급업체별 지침:
- Amazon Linux - 자세한 내용은 아래를 참조하십시오.
- Microsoft Windows - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux - https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
목록에 없는 운영 체제의 경우, 고객이 이용하는 운영 체제 또는 AMI 공급업체에 업데이트 및 지침을 문의하시기 바랍니다.
기타 AWS 서비스에 대한 업데이트
Amazon Linux AMI(공지 ID: ALAS-2018-939)
Amazon Linux용 업데이트된 커널은 Amazon Linux 리포지토리 내에서 사용할 수 있습니다. 2018년 1월 3일 오후 10시 45분(GMT) 이후 기본 Amazon Linux 구성으로 시작된 EC2 인스턴스에는 업데이트된 패키지가 자동으로 포함됩니다. 기존 Amazon Linux AMI 인스턴스를 사용하는 고객은 다음 명령을 실행하여 업데이트된 패키지를 받아야 합니다.
sudo yum update kernel
yum 업데이트가 완료되면 시스템을 재부팅해야 업데이트가 적용됩니다.
이 공지에 대한 자세한 내용은 Amazon Linux AMI 보안 센터에서 확인할 수 있습니다.
EC2 Windows
기본 Windows Server AMI를 업데이트할 예정이며 공개되는 대로 이 공지를 업데이트하겠습니다.
ECS Optimized AMI
AWS는 이 문제를 해결하기 위해 모든 Amazon Linux 보호가 통합된 Amazon ECS Optimized AMI 버전 2017.09.e를 발표했습니다. 모든 Amazon ECS 고객은 AWS Marketplace에서 제공하는 이 최신 버전으로 업그레이드하는 것이 좋습니다. 기존에 설치된 인스턴스를 업데이트하기로 선택하는 경우, 각 컨테이너 인스턴스에서 다음 명령을 실행해야 합니다.
sudo yum update kernel
업데이트는 컨테이너 인스턴스를 재부팅해야 완료됩니다.
ECS Optimized AMI를 사용하지 않는 Linux 고객은 필요한 경우 대체/타사 운영 체제, 소프트웨어 또는 AMI 공급업체에 문의하여 업데이트 및 지침을 확인하는 것이 좋습니다. Amazon Linux 관련 지침은 Amazon Linux AMI 보안 센터에서 확인할 수 있습니다.
업데이트된 Microsoft Windows EC2와 ECS Optimized AMI는 Microsoft 패치가 제공되는 대로 출시할 예정입니다.
Elastic Beanstalk
이 문제를 해결하기 위해 커널 업데이트를 포함한 새 플랫폼 버전을 48시간 이내에 출시할 예정입니다. Linux 환경의 경우, “관리형 플랫폼 업데이트”를 사용하기로 설정하여 이러한 업데이트가 공개되는 대로 선택한 유지관리 창에서 자동으로 업데이트가 실행되도록 하는 것이 좋습니다. 업데이트가 공개되는 대로 Windows 환경에 대한 지침을 게재하겠습니다.
AWS Fargate
Fargate 작업을 실행하는 모든 인프라는 위에 설명한 것과 같이 패치되었으며 고객 조치가 필요하지 않습니다.
Amazon FreeRTOS
Amazon FreeRTOS 및 지원되는 ARM 프로세서에 필요하거나 이에 해당되는 업데이트는 없습니다.
AWS Lambda
Lambda 함수를 실행하는 모든 인스턴스는 위에 설명한 것과 같이 패치되었으며 고객 조치가 필요하지 않습니다.
VMware Cloud on AWS
자세한 내용은 VMware 보안 공지(https://www.vmware.com/security/advisories/VMSA-2018-0002.html)를 참조하십시오.
WorkSpaces
AWS에서는 다가오는 주말 동안 대부분의 AWS WorkSpaces에 Microsoft에서 출시한 보안 업데이트를 적용할 예정입니다. 이 기간 중에 WorkSpaces가 재부팅된다는 점을 알아두시기 바랍니다.
Bring Your Own License(BYOL) 고객 및 WorkSpaces의 기본 업데이트 설정을 변경한 고객의 경우, Microsoft에서 제공하는 보안 업데이트를 수동으로 적용해야 합니다.
Microsoft 보안 공지(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002)에서 제공하는 지침을 따르십시오. 이 보안 공지에는 구체적인 추가 정보를 제공하는 Windows Server 및 Windows 클라이언트 운영 체제용 기술 자료 문서에 대한 링크가 포함되어 있습니다.
곧 업데이트된 WorkSpaces 번들이 보안 업데이트와 함께 제공될 예정입니다. 사용자 지정 번들을 생성한 고객은 보안 업데이트를 포함하도록 번들을 직접 업데이트해야 합니다. 업데이트가 없는 번들에서 시작된 새 WorkSpaces는 시작 후 곧 패치를 받게 됩니다. 단, 고객이 WorkSpaces에서 기본 업데이트 설정을 변경한 경우는 예외이며, 이 경우 위의 단계에 따라 Microsoft에서 제공한 보안 업데이트를 수동으로 적용해야 합니다.
WorkSpaces Application Manager(WAM)
다음 작업 중 하나를 선택하는 것이 좋습니다.
옵션 1: Microsoft의 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 페이지에 나와 있는 단계에 따라, WAM Packager 및 Validator의 실행 중인 인스턴스에서 Microsoft 패치를 수동으로 적용합니다. 이 페이지에서는 Windows Server에 해당되는 자세한 지침 및 관련 다운로드를 제공합니다.
옵션 2: WAM Packager 및 Validator용 업데이트된 AMI에서 새 WAM Packager와 Validator EC2 인스턴스를 다시 빌드합니다. 업데이트된 AMI는 오늘(2018년 1월 4일) 내로 제공될 예정입니다.