Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Актуальная версия представлена здесь: «Сообщение об исследовании спекулятивного выполнения на процессорах».
Последнее обновление: 04.01.2017 в 15:30 по тихоокеанскому стандартному времени
Это обновление предназначено для устранения данной проблемы.
Amazon EC2
Все инстансы в сервисе Amazon EC2 защищены от всех известных категорий угроз, указанных в перечисленных выше документах CVE. Кроме того, инстансы клиентов защищены от угроз, которые могут исходить из других инстансов. Мы не обнаружили заметного влияния на производительность подавляющего большинства рабочих нагрузок EC2.
Действия, которые рекомендуется выполнить клиентам, использующим сервисы AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce и Amazon Lightsail
Несмотря на то что все инстансы клиентов защищены, мы рекомендуем клиентам установить исправления для операционных систем в их инстансах. Это позволит усилить защиту, обеспечиваемую операционными системами, и изолировать различные программы, работающее в одном и том же инстансе. Дополнительные сведения см. в соответствующих документах о доступности и руководствах по развертыванию исправлений поставщиков.
Руководства поставщиков
- Amazon Linux – дополнительные сведения см. ниже.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- Red Hat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSE Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities
Если нужной операционной системы нет в списке, получите необходимые обновления и инструкции у поставщика используемой вами операционной системы или AMI.
Обновления для других сервисов AWS
AMI Amazon Linux (идентификатор бюллетеня: ALAS-2018-939)
Обновленное ядро для Amazon Linux доступно в репозиториях Amazon Linux. В инстансы EC2, запущенные с использованием стандартной конфигурации Amazon Linux не ранее 22:45 (GMT) 3 января 2018 г., необходимый пакет будет добавлен автоматически. Клиентам, у которых уже есть инстансы AMI Amazon Linux, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:
sudo yum update kernel
После выполнения команды yum update необходимо перезапустить инстанс, чтобы изменения вступили в силу.
Дополнительные сведения об этом бюллетене см. в Центре безопасности AMI Amazon Linux.
EC2 Windows
Мы обновляем AMI Windows Server, используемый по умолчанию, и когда у нас появятся новые сведения, мы внесем их в этот бюллетень.
Amazon FreeRTOS
Для ОС Amazon FreeRTOS и поддерживаемых ею процессоров ARM не требуются никакие обновления.
AWS Lambda
Описанные выше обновления уже применены для всех инстансов, в которых выполняются функции Lambda, и клиентам не нужно предпринимать никаких действий.
VMware Cloud on AWS
Дополнительные сведения см. в рекомендациях по обеспечению безопасности VMware по адресу https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
В течение следующей недели AWS будет применять обновления для систем безопасности, выпускаемые компанией Microsoft, для большей части AWS WorkSpaces. В этот период возможны перезапуски WorkSpaces клиентов.
Клиентам, использующим функцию поддержки собственных лицензий (BYOL), и клиентам, которые изменили заданные по умолчанию параметры обновления в своих WorkSpaces, следует вручную применить обновления для систем безопасности, предоставленные компанией Microsoft.
Выполните инструкции от консультантов по безопасности компании Microsoft, представленные на странице https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. В советы по безопасности включены ссылки на статьи базы знаний для серверных и клиентских операционных систем Windows, где представлена дополнительная информация для конкретных продуктов.
Обновленные пакеты WorkSpaces скоро станут доступны в составе обновлений для систем безопасности. Клиентам, которые создали собственные пакеты, следует обновить их, самостоятельно добавив обновления для систем безопасности. Все новые инстансы WorkSpaces, запускаемые из пакетов, в которых нет обновлений, получат исправления вскоре после запуска, если только клиенты не изменили в них параметры обновления, используемые по умолчанию. В противном случае следует вручную применить обновления для систем безопасности от компании Microsoft, выполнив указанные выше действия.
WorkSpaces Application Manager (WAM)
Рекомендуем клиентам выбрать один из приведенных ниже планов действий.
Вариант 1. Вручную примените исправления от компании Microsoft для работающих инстансов WAM Packager и Validator, следуя инструкциям Microsoft, приведенным в статье https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. На этой странице представлены дополнительные инструкции и файлы для загрузки, предназначенные для Windows Server.
Вариант 2. Заново создайте инстансы EC2 WAM Packager и Validator на основе обновленных AMI для WAM Packager and Validator, которые будут доступны к концу дня (04.01.2018).