현재 이 보안 공지의 이전 버전을 보고 계십니다. 최신 버전은 "Processor Speculative Execution Research Disclosure"를 참조하십시오.

보안 우려 사항: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

업데이트 날짜: 2018년 1월 7일 11:30 PST

이 문제를 해결하기 위한 업데이트입니다.

Amazon EC2

Amazon EC2 플릿 전반에 걸쳐 모든 인스턴스가 이전에 표시된 모든 CVE의 모든 알려진 위협 매개체로부터 보호됩니다. 고객 인스턴스는 다른 인스턴스로부터 이러한 위협에 맞서 보호됩니다. 대부분의 EC2 워크로드에서 의미 있는 성능상의 영향이 발견되지 않았습니다.

AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce 및 Amazon Lightsail에 대해 권장되는 고객 조치

고객 인스턴스는 모두 보호되지만, 인스턴스 운영 체제를 패치하는 것이 좋습니다. 이렇게 하면 이러한 운영 체제가 제공하는 보호 기능이 강화되어 같은 인스턴스 내에서 실행되는 소프트웨어를 격리합니다. 자세한 내용은 패치 가용성과 배포에 관한 각 공급업체 지침을 참조하시기 바랍니다.

공급업체별 지침:

목록에 없는 운영 체제의 경우, 고객이 이용하는 운영 체제 또는 AMI 공급업체에 업데이트 및 지침을 문의하시기 바랍니다.

기타 AWS 서비스에 대한 업데이트

Amazon Linux AMI(공지 ID: ALAS-2018-939)

Amazon Linux용 업데이트된 커널은 Amazon Linux 리포지토리 내에서 사용할 수 있습니다. 2018년 1월 3일 오후 10시 45분(GMT) 이후 기본 Amazon Linux 구성으로 시작된 EC2 인스턴스에는 업데이트된 패키지가 자동으로 포함됩니다. 기존 Amazon Linux AMI 인스턴스를 사용하는 고객은 다음 명령을 실행하여 업데이트된 패키지를 받아야 합니다.

sudo yum update kernel

yum 업데이트가 완료되면 시스템을 재부팅해야 업데이트가 적용됩니다.

이 공지에 대한 자세한 내용은 Amazon Linux AMI 보안 센터에서 확인할 수 있습니다.

EC2 Windows

AWS Windows AMI를 업데이트하였습니다. 현재 고객이 이용할 수 있는 상태이며, AWS Windows AMI에는 필요한 패치를 설치하고 레지스트리 키를 활성화한 상태입니다.

Microsoft에서 Server 2008R2, 2012R2 및 2016용으로 Windows 패치를 제공하였습니다. 패치는 Server 2016용 내장 Windows Update Service를 통해 사용할 수 있습니다. Server 2003, 2008SP2 및 2012RTM에 대한 패치 가용성에 대해서는 Microsoft의 정보를 기다리고 있습니다.

“Automatic Updates”가 활성 상태인 EC2에서 Windows 인스턴스를 실행하는 AWS 고객의 경우 Windows용 필수 업데이트가 공개되면 자동 업데이트를 실행하여 이를 다운로드하고 설치해야 합니다.

현재 수동 다운로드가 필요한 Windows Update를 통해서는 Server 2008R2와 2012R2 패치를 사용할 수 없습니다. Microsoft에서는 이러한 패치를 1월 9일 화요일에 공개할 예정이라고 공지했습니다.

“Automatic Updates”를 사용하기로 설정하지 않고 EC2에서 Windows 인스턴스를 실행하는 AWS 고객의 경우 필수 업데이트가 공개되면 다음의 지침을 따라 수동으로 설치해야 합니다. http://windows.microsoft.com/en-us/windows7/install-windows-updates

Windows Server의 경우 이 문제에 대한 업데이트의 보호 기능을 활성화하기 위해 Microsoft에서 요구하는 추가 단계를 거쳐야 합니다. 자세한 내용은 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution을 참조하십시오.

ECS Optimized AMI

AWS는 이 문제를 해결하기 위해 모든 Amazon Linux 보호가 통합된 Amazon ECS Optimized AMI 버전 2017.09.e를 발표했습니다. 모든 Amazon ECS 고객은 AWS Marketplace에서 제공하는 이 최신 버전으로 업그레이드하는 것이 좋습니다. 기존에 설치된 인스턴스를 업데이트하기로 선택하는 경우, 각 컨테이너 인스턴스에서 다음 명령을 실행해야 합니다.

sudo yum update kernel

업데이트는 컨테이너 인스턴스를 재부팅해야 완료됩니다.

ECS Optimized AMI를 사용하지 않는 Linux 고객은 필요한 경우 대체/타사 운영 체제, 소프트웨어 또는 AMI 공급업체에 문의하여 업데이트 및 지침을 확인하는 것이 좋습니다. Amazon Linux 관련 지침은 Amazon Linux AMI 보안 센터에서 확인할 수 있습니다.

업데이트된 Microsoft Windows EC2와 ECS Optimized AMI는 Microsoft 패치가 제공되는 대로 출시할 예정입니다.

Elastic Beanstalk

이 문제를 해결하기 위해 커널 업데이트를 포함한 새 플랫폼 버전을 48시간 이내에 출시할 예정입니다. Linux 환경의 경우, “관리형 플랫폼 업데이트”를 사용하기로 설정하여 이러한 업데이트가 공개되는 대로 선택한 유지관리 창에서 자동으로 업데이트가 실행되도록 하는 것이 좋습니다. 업데이트가 공개되는 대로 Windows 환경에 대한 지침을 게재하겠습니다.  

AWS Fargate

Fargate 작업을 실행하는 모든 인프라는 위에 설명한 것과 같이 패치되었으며 고객 조치가 필요하지 않습니다.

Amazon FreeRTOS

Amazon FreeRTOS 및 지원되는 ARM 프로세서에 필요하거나 이에 해당되는 업데이트는 없습니다.

AWS Lambda

Lambda 함수를 실행하는 모든 인스턴스는 위에 설명한 것과 같이 패치되었으며 고객 조치가 필요하지 않습니다.

RDS

RDS 관리형 고객 데이터베이스 인스턴스는 각각 고객이 액세스할 수 있는 다른 프로세스가 없고 고객이 기본 인스턴스에서 코드를 실행할 수 없는 경우 단일 고객에 대해서만 데이터베이스 엔진을 실행하는 데 사용됩니다. AWS는 RDS를 기반으로 하는 모든 인프라를 보호하는 작업을 마쳤으므로 이 문제와 관련된 프로세스와 커널 간 또는 프로세스 간 보안 우려 사항으로 인해 고객에게 위험이 야기되지 않습니다. RDS가 지원하는 대부분의 데이터베이스 엔진은 현재까지 알려진 프로세스 간 보안 우려 사항이 없는 것으로 보고되었습니다. 다음은 데이터베이스 엔진별 추가적인 세부 정보이며 달리 설명하지 않는 한 고객 조치가 필요하지 않습니다. 자세한 정보를 입수하는 대로 이 공지를 업데이트하겠습니다.

MariaDB용 RDS, MySQL용 RDS, Aurora MySQL용 RDS 및 Oracle용 RDS 데이터베이스 인스턴스는 현재 고객 조치가 필요하지 않습니다.

RDS PostgreSQL 및 Aurora PostgreSQL의 경우, 기본 구성으로 실행 중인 DB 인스턴스는 현재 고객 조치가 필요하지 않습니다. plv8 확장 프로그램 사용자의 경우 적절한 패치가 준비되는 대로 제공할 예정입니다. 패치가 준비되는 동안 plv8 확장 프로그램을 활성화(기본적으로 비활성화됨)한 고객은 plv8 확장 프로그램을 비활성화하고 https://github.com/v8/v8/wiki/Untrusted-code-mitigations에서 V8 관련 지침을 검토해야 합니다.

SQL Server 데이터베이스 인스턴스용 RDS의 경우 Microsoft에서 제공하는 시기에 맞춰 OS와 데이터베이스 엔진을 각각 출시해 고객이 원할 때 업그레이드할 수 있도록 합니다. 둘 중 하나가 완료되면 이 공지를 업데이트할 것입니다. 그동안에 CLR(기본적으로 비활성화됨)을 활성화한 고객은 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server에서 CLR 확장 프로그램을 활성화하는 방법에 대한 Microsoft의 지침을 검토해야 합니다.

VMware Cloud on AWS

자세한 내용은 VMware 보안 공지(https://www.vmware.com/security/advisories/VMSA-2018-0002.html)를 참조하십시오.

WorkSpaces

AWS에서는 다가오는 주말 동안 대부분의 AWS WorkSpaces에 Microsoft에서 출시한 보안 업데이트를 적용할 예정입니다. 이 기간 중에 WorkSpaces가 재부팅된다는 점을 알아두시기 바랍니다.

Bring Your Own License(BYOL) 고객 및 WorkSpaces의 기본 업데이트 설정을 변경한 고객의 경우, Microsoft에서 제공하는 보안 업데이트를 수동으로 적용해야 합니다.

Microsoft 보안 공지(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002)에서 제공하는 지침을 따르십시오. 이 보안 공지에는 구체적인 추가 정보를 제공하는 Windows Server 및 Windows 클라이언트 운영 체제용 기술 자료 문서에 대한 링크가 포함되어 있습니다.

곧 업데이트된 WorkSpaces 번들이 보안 업데이트와 함께 제공될 예정입니다. 사용자 지정 번들을 생성한 고객은 보안 업데이트를 포함하도록 번들을 직접 업데이트해야 합니다. 업데이트가 없는 번들에서 시작된 새 WorkSpaces는 시작 후 곧 패치를 받게 됩니다. 단, 고객이 WorkSpaces에서 기본 업데이트 설정을 변경한 경우는 예외이며, 이 경우 위의 단계에 따라 Microsoft에서 제공한 보안 업데이트를 수동으로 적용해야 합니다.

WorkSpaces Application Manager(WAM)

다음 작업 중 하나를 선택하는 것이 좋습니다.

옵션 1: Microsoft의 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 페이지에 나와 있는 단계에 따라, WAM Packager 및 Validator의 실행 중인 인스턴스에서 Microsoft 패치를 수동으로 적용합니다. 이 페이지에서는 Windows Server에 해당되는 자세한 지침 및 관련 다운로드를 제공합니다.

옵션 2: WAM Packager 및 Validator용 업데이트된 AMI에서 새 WAM Packager와 Validator EC2 인스턴스를 다시 빌드합니다. 업데이트된 AMI는 오늘(2018년 1월 4일) 내로 제공될 예정입니다.