คุณกำลังดูกระดานข่าวด้านความปลอดภัยในเวอร์ชันก่อนหน้านี้ สำหรับเวอร์ชันล่าสุด โปรดไปที่ "การเปิดเผยการวิจัยการดำเนินการเชิงคาดการณ์ของตัวประมวลผล"

เกี่ยวกับ: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

อัปเดตเมื่อ: 2018/01/15 20:30 น. เวลา PST

นี่คือการอัปเดตสำหรับปัญหานี้

เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux ใช้งานได้แล้วภายในที่เก็บของ Amazon Linux อินสแตนซ์ EC2 ที่เปิดใช้ด้วยการกำหนดค่า Amazon Linux ตามค่าเริ่มต้นในวันที่ 13 มกราคม 2018 หรือหลังจากนั้น จะรวมแพคเกจที่อัปเดตแล้วโดยอัตโนมัติ ซึ่งจะนำการปรับปรุงความปลอดภัยของ Linux โอเพ่นซอร์สที่มีความเสถียรล่าสุดมารวมกันเพื่อแก้ไข CVE-2017-5715 ภายในเคอร์เนล และสร้างขึ้นบน Kernel Page Table Isolation (KPTI) ที่แก้ไข CVE-2017-5754 ซึ่งนำมารวมไว้ก่อนหน้านี้ ลูกค้าต้องอัปเกรดเป็นเคอร์เนล Amazon Linux ล่าสุดหรือ AMI เพื่อแก้ไขข้อกังวลระหว่างกระบวนการต่อกระบวนการ CVE-2017-5754 และข้อกังวลระหว่างกระบวนการต่อเคอร์เนล CVE-2017-5715 ภายในอินสแตนซ์ของตนอย่างมีประสิทธิผล ดูข้อมูลเพิ่มเติมใน “Amazon Linux AMI” ที่ด้านล่างนี้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับอินสแตนซ์เสมือนแบบเพิ่มประสิทธิภาพ (PV) ใน “คำแนะนำอินสแตนซ์ PV” ที่ด้านล่างนี้

Amazon EC2

อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ได้รับการป้องกันจากข้อกังวลระหว่างอินสแตนซ์ต่ออินสแตนซ์ที่รู้จักทั้งหมดของ CVE ที่แสดงก่อนหน้านี้ ข้อกังวลระหว่างอินสแตนซ์ต่ออินสแตนซ์จะถือว่าอินสแตนซ์ข้างเคียงที่ไม่น่าเชื่อถือสามารถอ่านหน่วยความจำของอินสแตนซ์อื่นหรือไฮเปอร์ไวเซอร์ AWS ได้ ปัญหานี้ได้รับการแก้ไขสำหรับไฮเปอร์ไวเซอร์ AWS แล้ว และจะไม่มีอินสแตนซ์ที่สามารถอ่านหน่วยความจำของอินสแตนซ์อื่น หรือสามารถอ่านหน่วยความจำของไฮเปอร์ไวเซอร์ AWS ตามที่ระบุไว้ข้างต้น เราไม่พบผลกระทบต่อประสิทธิภาพที่มีนัยสำคัญสำหรับปริมาณงานส่วนใหญ่ของ EC2

เราพบว่ามีอินสแตนซ์และแอปพลิเคชันจำนวนเล็กน้อยที่หยุดทำงานเนื่องจากการอัปเดตไมโครโค้ดของ Intel และเรากำลังทำงานโดยตรงร่วมกับลูกค้าที่ได้รับผลกระทบ เราเพิ่งเสร็จสิ้นการปิดใช้งานส่วนของไมโครโค้ดใหม่ของ CPU Intel สำหรับแพลตฟอร์มใน AWS ที่เราพบปัญหาเหล่านี้ ซึ่งดูเหมือนว่าจะได้แก้ปัญหาสำหรับอินสแตนซ์เหล่านี้ อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ยังคงได้รับการป้องกันจากภัยคุกคามที่ทราบทั้งหมด ไมโครโค้ดของ Intel ที่ปิดใช้งานให้การป้องกันเพิ่มเติมต่อเวกเตอร์ภัยคุกคามเชิงทฤษฎีจากปัญหา CVE-2017-5715 เราคาดว่าจะเปิดใช้งานการป้องกันเพิ่มเติมเหล่านี้อีกครั้ง (ควบคู่ไปกับการปรับปรุงประสิทธิภาพเพิ่มเติมที่เรากำลังดำเนินการ) ในอนาคตอันใกล้ เมื่อ Intel ให้ไมโครโค้ดที่อัปเดตแล้ว

การดำเนินการของลูกค้าที่แนะนำสำหรับ AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce และ Amazon Lightsail

แม้ว่าอินสแตนซ์ของลูกค้าทั้งหมดจะได้รับการป้องกันตามที่อธิบายไว้ข้างต้น เราขอแนะนำให้ลูกค้าแก้ไขระบบปฏิบัติการของอินสแตนซ์ของตน เพื่อแยกซอฟต์แวร์ที่กำลังทำงานภายในอินสแตนซ์เดียวกัน และแก้ไขข้อกังวลระหว่างกระบวนการต่อกระบวนการ CVE-2017-5754 สำหรับรายละเอียดเพิ่มเติม โปรดดูคำแนะนำเฉพาะจากผู้จำหน่ายเกี่ยวกับความพร้อมใช้งานและการติดตั้งใช้จริงของโปรแกรมแก้ไข

คำแนะนำเฉพาะจากผู้จำหน่าย:

สำหรับระบบปฏิบัติการที่ไม่ได้อยู่ในรายการนี้ ลูกค้าควรปรึกษาผู้จำหน่ายระบบปฏิบัติการหรือ AMI เพื่อขอรับการอัปเดตและคำแนะนำ

คำแนะนำอินสแตนซ์ PV

หลังจากการวิจัยอย่างต่อเนื่องและการวิเคราะห์โดยละเอียดสำหรับโปรแกรมแก้ไขระบบปฏิบัติการที่ใช้งานได้เพื่อศึกษาปัญหานี้ เราได้พิจารณาเห็นว่าการป้องกันระบบปฏิบัติการนั้นไม่เพียงพอในการแก้ไขข้อกังวลระหว่างกระบวนการต่อกระบวนการภายในอินสแตนซ์เสมือนแบบเพิ่มประสิทธิภาพ (PV) แม้ว่าอินสแตนซ์ PV จะได้รับการป้องกันโดยไฮเปอร์ไวเซอร์ AWS จากข้อกังวลระหว่างอินสแตนซ์ต่ออินสแตนซ์ตามที่อธิบายไว้ข้างต้นแล้วก็ตาม ขอแนะนำอย่างจริงจังให้ลูกค้าที่กังวลเกี่ยวกับการแยกกระบวนการภายในอินสแตนซ์ PV (เช่น ประมวลผลข้อมูลที่ไม่น่าเชื่อถือ เรียกใช้โค้ดที่ไม่น่าเชื่อถือ โฮสต์ผู้ใช้ที่ไม่น่าเชื่อถือ) ย้ายระบบไปยังอินสแตนซ์ประเภท HVM เพื่อให้ได้รับประโยชน์ด้านความปลอดภัยในระยะยาว

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความแตกต่างระหว่าง PV กับ HVM (ตลอดจนเอกสารเส้นทางการอัปเกรดอินสแตนซ์) ที่:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

โปรดติดต่อฝ่ายสนับสนุน หากคุณต้องการความช่วยเหลือเกี่ยวกับเส้นทางการอัปเกรดสำหรับอินสแตนซ์ PV ใดๆ

การอัปเดตต่อบริการอื่นๆ ของ AWS

บริการต่อไปนี้ที่ต้องมีการแก้ไขอินสแตนซ์ EC2 ที่จัดการในนามของลูกค้า ได้ทำงานทั้งหมดเสร็จสิ้นแล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ

  • Fargate
  • Lambda

ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ สำหรับบริการอื่นๆ ของ AWS ทั้งหมด เว้นแต่ที่อธิบายไว้เป็นอย่างอื่นที่ด้านล่างนี้

Amazon Linux AMI (รหัสกระดานข่าว: ALAS-2018-939)

เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux ใช้งานได้แล้วภายในที่เก็บของ Amazon Linux อินสแตนซ์ EC2 ที่เปิดใช้ด้วยการกำหนดค่า Amazon Linux ตามค่าเริ่มต้นในวันที่ 13 มกราคม 2018 หรือหลังจากนั้น จะรวมแพคเกจที่อัปเดตแล้วโดยอัตโนมัติ ซึ่งจะนำการปรับปรุงความปลอดภัยของ Linux โอเพ่นซอร์สที่มีความเสถียรล่าสุดมารวมกันเพื่อแก้ไข CVE-2017-5715 ภายในเคอร์เนล และสร้างขึ้นบน Kernel Page Table Isolation (KPTI) ที่แก้ไข CVE-2017-5754 ซึ่งนำมารวมไว้ก่อนหน้านี้

หมายเหตุ: ลูกค้าต้องอัปเกรดเป็นเคอร์เนล Amazon Linux ล่าสุดหรือ AMI เพื่อแก้ไขข้อกังวลระหว่างกระบวนการต่อกระบวนการ CVE-2017-5754 และข้อกังวลระหว่างกระบวนการต่อเคอร์เนล CVE-2017-5715 ภายในอินสแตนซ์ของตนอย่างมีประสิทธิผล

ลูกค้าที่มีอินสแตนซ์ Amazon Linux AMI อยู่แล้วควรเรียกใช้คำสั่งต่อไปนี้ เพื่อให้แน่ใจว่าจะได้รับแพ็คเกจที่อัปเดตแล้ว:

sudo yum update kernel

เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux หลังจากที่ yum update ทำงานเสร็จแล้ว จะต้องรีบูตเพื่อให้การอัปเดตมีผล

สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับกระดานข่าวนี้ได้ที่ ศูนย์ความปลอดภัย Amazon Linux AMI

สำหรับ Amazon Linux 2 โปรดทำตามคำแนะนำสำหรับ Amazon Linux ที่อธิบายไว้ข้างบนนี้

EC2 Windows

เราได้อัปเดต AWS Windows AMI แล้ว ซึ่งพร้อมให้ลูกค้าใช้งานได้แล้ว และ AWS Windows AMI ได้ติดตั้งโปรแกรมแก้ไขที่จำเป็นและเปิดใช้งานรีจิสทรีคีย์ไว้แล้ว

Microsoft ได้จัดให้มีโปรแกรมแก้ไข Windows สำหรับ Server 2008R2, 2012R2 และ 2016 แล้ว โปรแกรมแก้ไขใช้งานได้โดยผ่านบริการอัปเดต Windows ในตัวสำหรับ Server 2016 เรากำลังรอข้อมูลจาก Microsoft เกี่ยวกับความพร้อมใช้งานของโปรแกรมแก้ไขสำหรับ Server 2003, 2008SP2 และ 2012RTM

ลูกค้า AWS ที่เรียกใช้อินสแตนซ์ Windows บน EC2 ที่เปิดใช้งาน “การอัปเดตอัตโนมัติ” ควรเรียกใช้การอัปเดตอัตโนมัติ เพื่อดาวน์โหลดและติดตั้งการอัปเดตที่จำเป็นสำหรับ Windows เมื่อการอัปเดตพร้อมใช้งาน

โปรดทราบว่าโปรแกรมแก้ไข Server 2008R2 และ 2012R2 ยังไม่พร้อมใช้งานในขณะนี้ผ่านทาง Windows Update ที่ต้องดาวน์โหลดด้วยตนเอง Microsoft ได้แจ้งก่อนหน้านี้ว่าโปรแกรมแก้ไขเหล่านี้จะใช้งานได้ในวันอังคารที่ 9 มกราคม แต่เรายังคงรอข้อมูลเกี่ยวกับความพร้อมใช้งานอยู่

ลูกค้า AWS ที่เรียกใช้อินสแตนซ์ Windows บน EC2 ที่ยังไม่ได้เปิดใช้งาน “การอัปเดตอัตโนมัติ” ควรติดตั้งการอัปเดตที่จำเป็นด้วยตนเอง เมื่อการอัปเดตนั้นพร้อมใช้งานโดยทำตามคำแนะนำที่นี่: http://windows.microsoft.com/en-us/windows7/install-windows-updates

โปรดทราบว่าสำหรับ Windows Server จำเป็นต้องมีขั้นตอนเพิ่มเติมโดย Microsoft เพื่อเปิดใช้งานคุณสมบัติการป้องกันของการอัปเดตสำหรับปัญหานี้ ตามที่อธิบายไว้ที่นี่: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

AMI ที่ปรับให้เหมาะสมกับ ECS

เราได้ออก AMI ที่ปรับให้เหมาะสมกับ Amazon ECS เวอร์ชัน 2017.09.f ซึ่งรวมการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ไว้ด้วยกัน รวมทั้งการอัปเดตเคอร์เนลที่สองของ Amazon Linux ที่ได้กล่าวไว้ข้างต้น เราแนะนำให้ลูกค้า Amazon ECS ทั้งหมดอัปเกรดเป็นเวอร์ชันล่าสุดนี้ ซึ่งใช้งานได้ใน AWS Marketplace เราจะยังคงรวมการปรับปรุง Amazon Linux ไว้ด้วยกันต่อไปเมื่อพร้อมใช้งาน

ลูกค้าที่เลือกที่จะอัปเดตอินสแตนซ์ของ AMI ที่ปรับให้เหมาะสมกับ ECS ที่มีอยู่แล้ว ควรเรียกใช้คำสั่งต่อไปนี้ เพื่อให้แน่ใจว่าจะได้รับแพ็คเกจที่อัปเดตแล้ว:

sudo yum update kernel

เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux หลังจากที่ yum update ทำงานเสร็จแล้ว จะต้องรีบูตเพื่อให้การอัปเดตมีผล

ขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ AMI ที่ปรับให้เหมาะสมกับ ECS ปรึกษาผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่น เพื่อขอรับการอัปเดตและคำแนะนำตามความจำเป็น สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux AMI

เราได้ออก Windows AMI ที่ปรับให้เหมาะสมกับ Amazon ECS เวอร์ชัน 2018.01.10 แล้ว สำหรับรายละเอียดเกี่ยวกับวิธีนำโปรแกรมแก้ไขไปใช้กับอินสแตนซ์ที่กำลังทำงาน โปรดดูหัวข้อ “EC2 Windows” ข้างบนนี้

Elastic Beanstalk

เราได้อัปเดตแพลตฟอร์มที่ใช้ Linux ทั้งหมดไว้แล้วเพื่อรวมการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ ดูเวอร์ชันแพลตฟอร์มโดยเฉพาะที่บันทึกย่อประจำรุ่น เราขอแนะนำให้ลูกค้า Elastic Beanstalk อัปเดตสภาพแวดล้อมของตนเป็นแพลตฟอร์มเวอร์ชันที่ใช้งานได้ล่าสุด สภาพแวดล้อมที่ใช้การอัปเดตที่มีการจัดการจะได้รับการอัปเดตโดยอัตโนมัติในช่วงกำหนดเวลาการบำรุงรักษาที่ได้กำหนดค่าไว้

แพลตฟอร์มที่ใช้ Windows จะได้รับการอัปเดตเช่นกันเพื่อรวมการป้องกัน EC2 Windows ทั้งหมดสำหรับปัญหานี้ ขอแนะนำให้ลูกค้าอัปเดตสภาพแวดล้อม Elastic Beanstalk ที่ใช้ Windows เป็นการกำหนดค่าแพลตฟอร์มที่ใช้งานได้ล่าสุด

ElastiCache

แต่ละโหนดแคชของลูกค้าที่จัดการโดย ElastiCache ใช้ในการเรียกใช้กลไกแคชสำหรับลูกค้ารายเดียวโดยเฉพาะ โดยไม่มีกระบวนการอื่นๆ ที่ลูกค้าสามารถเข้าถึงได้และลูกค้าจะไม่สามารถเรียกใช้โค้ดกับอินสแตนซ์เบื้องหลังได้ เมื่อ AWS ป้องกันโครงสร้างพื้นฐานที่สนับสนุน ElastiCache เสร็จแล้ว ข้อกังวลระหว่างกระบวนการต่อเคอร์เนลหรือกระบวนการต่อกระบวนการของปัญหานี้จะไม่ทำให้เกิดความเสี่ยงต่อลูกค้า การสนับสนุนกลไกแคช ElastiCache ทั้งคู่ได้รายงานว่ายังไม่มีข้อกังวลเกี่ยวกับกระบวนการภายในที่ทราบในขณะนี้

EMR

Amazon EMR เปิดใช้คลัสเตอร์อินสแตนซ์ของ Amazon EC2 ที่ใช้งาน Amazon Linux ในนามของลูกค้าในบัญชีของลูกค้า ลูกค้าที่กังวลเกี่ยวกับการแยกกระบวนการภายในอินสแตนซ์ของคลัสเตอร์ Amazon EMR ควรอัปเกรดเป็นเคอร์เนล Amazon Linux ล่าสุดตามที่ได้แนะนำไว้ข้างต้น เราอยู่ระหว่างการรวมเคอร์เนล Amazon Linux ล่าสุดเข้ากับรุ่นย่อยใหม่ในรุ่น 5.11.x และรุ่น 4.9.x ลูกค้าจะสามารถสร้างคลัสเตอร์ Amazon EMR ใหม่ได้ด้วยรุ่นต่างๆ เหล่านี้ เราจะอัปเดตกระดานข่าวนี้เมื่อรุ่นเหล่านี้ใช้งานได้

สำหรับ Amazon EMR รุ่นปัจจุบันและอินสแตนซ์ที่เกี่ยวข้องที่กำลังทำงานใดๆ ที่ลูกค้าอาจมีอยู่ เราขอแนะนำให้อัปเดตเป็นเคอร์เนล Amazon Linux ล่าสุดตามที่ได้แนะนำไว้ข้างต้น สำหรับคลัสเตอร์ใหม่ ลูกค้าสามารถใช้การเริ่มต้นระบบเพื่ออัปเดตเคอร์เนล Linux และรีบูตแต่ละอินสแตนซ์ สำหรับคลัสเตอร์ที่กำลังทำงานอยู่ ลูกค้าสามารถช่วยในการอัปเดตและรีสตาร์ทเคอร์เนล Linux ได้สำหรับแต่ละอินสแตนซ์ในคลัสเตอร์โดยทยอยทำทีละอินสแตนซ์ โปรดทราบว่าการรีสตาร์ทบางกระบวนการอาจส่งผลกระทบต่อแอปพลิเคชันที่กำลังทำงานภายในคลัสเตอร์ได้

RDS

แต่ละอินสแตนซ์ฐานข้อมูลของลูกค้าที่จัดการโดย RDS ใช้ในการเรียกใช้กลไกฐานข้อมูลสำหรับลูกค้ารายเดียวโดยเฉพาะ โดยไม่มีกระบวนการอื่นๆ ที่ลูกค้าสามารถเข้าถึงได้และลูกค้าจะไม่สามารถเรียกใช้โค้ดกับอินสแตนซ์เบื้องหลังได้ เมื่อ AWS ป้องกันโครงสร้างพื้นฐานที่สนับสนุน RDS เสร็จแล้ว ข้อกังวลระหว่างกระบวนการต่อเคอร์เนลหรือกระบวนการต่อกระบวนการของปัญหานี้จะไม่ทำให้เกิดความเสี่ยงต่อลูกค้า การสนับสนุน RDS ของกลไกฐานข้อมูลส่วนใหญ่ยังไม่มีการรายงานข้อกังวลเกี่ยวกับกระบวนการภายในที่ทราบในขณะนี้ สามารถดูรายละเอียดเพิ่มเติมเฉพาะกลไกฐานข้อมูลได้ที่ด้านล่างนี้ และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เว้นแต่จะระบุไว้เป็นอย่างอื่น

สำหรับ RDS ของอินสแตนซ์ฐานข้อมูล SQL Server เราจะออกโปรแกรมแก้ไข OS และกลไกฐานข้อมูลตามที่ Microsoft จัดเตรียมไว้ให้ ซึ่งทำให้ลูกค้าสามารถอัปเกรดได้ในเวลาที่ตนเลือก เราจะอัปเดตกระดานข่าวนี้เมื่ออย่างใดอย่างหนึ่งดำเนินการเสร็จสิ้น ในระหว่างนี้ ลูกค้าที่เปิดใช้งาน CLR (ซึ่งปิดใช้งานตามค่าเริ่มต้น) ควรตรวจสอบคำแนะนำของ Microsoft เกี่ยวกับการปิดใช้งานส่วนขยาย CLR ที่ https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

สำหรับ RDS PostgreSQL และ Aurora PostgreSQL ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ สำหรับอินสแตนซ์ DB ที่ทำงานด้วยการกำหนดค่าตามค่าเริ่มต้น เราจะมอบโปรแกรมแก้ไขที่เหมาะสมให้แก่ผู้ใช้ส่วนขยาย plv8 เมื่อพร้อมใช้งาน ในระหว่างนี้ ลูกค้าที่เปิดใช้งานส่วนขยาย plv8 (ซึ่งปิดใช้งานตามค่าเริ่มต้น) ควรพิจารณาปิดใช้งานและตรวจสอบคำแนะนำของ V8 ที่ https://github.com/v8/v8/wiki/Untrusted-code-mitigations

ในขณะนี้ ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ สำหรับ RDS สำหรับ MariaDB, RDS สำหรับ MySQL, Aurora MySQL และ RDS สำหรับอินสแตนซ์ฐานข้อมูล Oracle

VMware Cloud on AWS

ตาม VMware “วิธีแก้ไขที่บันทึกไว้ใน VMSA-2018-0002 แสดงอยู่ใน VMware Cloud on AWS ตั้งแต่ต้นเดือนธันวาคม 2017”

โปรดดูรายละเอียดเพิ่มเติมในบล็อกความปลอดภัย & การปฏิบัติตามข้อกำหนดของ VMware และดูสถานะที่อัปเดตแล้วที่ https://status.vmware-services.io

WorkSpaces

สำหรับการใช้งาน Windows 7 กับลูกค้า Windows Server 2008 R2:

Microsoft ได้ออกการอัปเดตด้านความปลอดภัยใหม่สำหรับ Windows Server 2008 R2 สำหรับปัญหานี้ การส่งมอบการอัปเดตเหล่านี้ให้ได้ผลสำเร็จจะต้องมีซอฟต์แวร์ป้องกันไวรัสที่เข้ากันได้ทำงานบนเซิร์ฟเวอร์ตามที่ Microsoft อธิบายไว้ในการอัปเดตด้านความปลอดภัย: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software ลูกค้า WorkSpaces จำเป็นต้องดำเนินการเพื่อรับการอัปเดตเหล่านี้ โปรดปฏิบัติตามคำแนะนำที่ Microsoft อธิบายไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

สำหรับการใช้งาน Windows 10 กับลูกค้า Windows Server 2016:

AWS ได้นำการอัปเดตด้านความปลอดภัยมาใช้กับ WorkSpace ที่ใช้งาน Windows 10 บน Windows Server 2016 Windows 10 มีซอฟต์แวร์ Windows Defender AntiVirus ในตัว ซึ่งเข้ากันได้กับการอัปเดตด้านความปลอดภัยเหล่านี้ ลูกค้าไม่จำเป็นต้องดำเนินการเพิ่มเติม

สำหรับ BYOL และลูกค้าที่มีการปรับเปลี่ยนการตั้งค่าการอัปเดตตามค่าเริ่มต้น:

โปรดทราบว่าลูกค้าที่ใช้คุณสมบัติ Bring Your Own License (BYOL) ของ WorkSpace และลูกค้าที่เปลี่ยนการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpace ควรนำการอัปเดตด้านความปลอดภัยที่จัดให้โดย Microsoft มาใช้ด้วยตนเอง หากคุณเป็นลูกค้ากลุ่มนี้ โปรดปฏิบัติตามคำแนะนำที่ให้มาโดยการให้คำปรึกษาด้านความปลอดภัยของ Microsoft ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 การให้คำปรึกษาด้านความปลอดภัยมีลิงก์ไปยังบทความฐานความรู้สำหรับทั้งระบบปฏิบัติการ Windows Server และระบบปฏิบัติการของไคลเอ็นต์ ซึ่งจะให้ข้อมูลเฉพาะเพิ่มเติม

ชุดรวม WorkSpace ที่อัปเดตแล้วจะใช้งานได้พร้อมกับการอัปเดตด้านความปลอดภัยในเร็วๆ นี้ ลูกค้าที่สร้างชุดรวมแบบกำหนดเองควรจะอัปเดตชุดรวมของตนให้รวมการอัปเดตด้านความปลอดภัยด้วยตนเอง WorkSpace ใหม่ใดๆ ที่เปิดใช้จากชุดรวมที่ไม่มีการอัปเดตจะได้รับโปรแกรมแก้ไขในทันทีที่เปิดใช้ เว้นแต่ลูกค้าจะเปลี่ยนการตั้งค่าการอัปเดตตามค่าเริ่มต้นใน WorkSpace ของตน หรือติดตั้งซอฟต์แวร์ป้องกันไวรัสที่เข้ากันไม่ได้ ซึ่งในกรณีนี้ ควรปฏิบัติตามขั้นตอนข้างต้นเพื่อนำการอัปเดตด้านความปลอดภัยที่จัดให้โดย Microsoft มาใช้ด้วยตนเอง

WorkSpaces Application Manager (WAM)

เราขอแนะนำให้ลูกค้าเลือกขั้นตอนการดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้

ตัวเลือกที่ 1: นำการอัปเดตของ Microsoft มาใช้ด้วยตนเองกับอินสแตนซ์ที่กำลังทำงานของ WAM Packager และ Validator โดยปฏิบัติตามขั้นตอนที่ Microsoft ให้ไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution หน้านี้มีคำแนะนำเพิ่มเติมและการดาวน์โหลดที่เกี่ยวข้อง

ตัวเลือกที่ 2: สิ้นสุดการทำงานของอินสแตนซ์ Packager และ Validator ที่มีอยู่ของคุณ เปิดใช้อินสแตนซ์ใหม่โดยใช้ AMI ที่อัปเดตแล้วที่มีชื่อว่า "Amazon WAM Admin Studio 1.5.1" และ "Amazon WAM Admin Player 1.5.1"