2018년 8월 16일 2:45 PM PDT
CVE 식별자: CVE-2018-3620, CVE-2018-3646
인텔은 자사 프로세서와 관련된 새로운 사이드 채널 분석 방법에 대한 보안 공지(INTEL-SA-00161)인 "L1 터미널 내결함성"(L1TF)을 발표했습니다. AWS는 이런 유형의 공격에 대한 보호 조치를 적용하여 인프라를 설계 및 구현하였고, 또한 L1TF에 대한 추가적인 보호 조치도 배포하였습니다. 모든 EC2 호스트 인프라는 새로운 보호 조치를 적용하여 업데이트하였고, 인프라에 대해서는 고객 별도의 작업이 필요하지 않습니다.
각 리포지토리에서 Amazon Linux AMI 2017.09(ALAS-2018-1058), Amazon Linux AMI 2018.03(ALAS-2018-1058) 및 Amazon Linux 2(ALAS-2018-1058)에 대한 업데이트된 커널을 사용할 수 있습니다. 일반적인 보안 모범 사례로서, 새로운 사이드 채널 문제를 해결하기 위한 패치가 제공되는 대로 운영 체제 또는 소프트웨어를 패치하는 것을 권장합니다.
업데이트된 커널을 자동으로 포함하는 새로운 버전의 Amazon Linux 및 Amazon Linux 2 AMI를 출시했습니다. 업데이트된 커널이 포함된 이미지의 AMI ID는 Amazon Linux 2018.03 AMI ID, Amazon Linux 2 AMI ID 및 AWS Systems Manager Parameter Store에서 확인할 수 있습니다.
한편, 서로 다른 보안 권한으로 워크로드를 실행할 때는 운영 체제 프로세스 경계나 컨테이너를 이용하기보다는 EC2 인스턴스의 강력한 보안 및 격리 속성을 사용하는 것이 좋습니다.