คุณกำลังดูเวอร์ชันก่อนหน้าของกระดานข่าวความปลอดภัย สำหรับเวอร์ชันล่าสุดโปรดไปที่ "การเปิดเผยการวิจัยการดำเนินการแบบคาดการณ์ของตัวประมวลผล"

เกี่ยวกับ: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

อัปเดตเมื่อ: 5/1/2018 13:30 น. เวลามาตรฐานแปซิฟิก

นี่คือการอัปเดตเพื่อรับมือปัญหานี้

Amazon EC2

อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ได้รับการป้องกันจากภัยคุกคามที่ระบุได้ทั้งหมดของ CVE ที่แสดงก่อนหน้านี้ อินสแตนซ์ของลูกค้าได้รับการป้องกันจากภัยคุกคามเหล่านี้ที่มาจากอินสแตนซ์อื่นๆ เราไม่พบผลกระทบด้านประสิทธิภาพที่ที่สำคัญจากปริมาณงาน EC2 ส่วนใหญ่ที่ท่วมท้นนี้

การดำเนินการของลูกค้าที่แนะนำสำหรับ AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce และ Amazon Lightsail

ขณะที่อินสแตนซ์ลูกค้าทั้งหมดได้รับการปกป้อง เราแนะนำให้ลูกค้าแพทช์ระบบปฏิบัติการอินสแตนซ์ของตนด้วย การแพทช์จะช่วยเสริมประสิทธิภาพการปกป้องได้ เนื่องจากระบบปฏิบัติการเหล่านี้จะให้ซอฟต์แวร์ที่ทำงานแยกต่างหากภายในอินสแตนซ์เดียวกัน หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคำแนะนำเฉพาะโดยผู้จำหน่ายเกี่ยวกับความพร้อมในการแพทช์และติดตั้งใช้จริง

คำแนะนำเฉพาะโดยผู้จำหน่าย:

สำหรับระบบปฏิบัติการที่ไม่ได้อยู่ในรายการนี้ ลูกค้าควรขอคำปรึกษากับผู้จัดจำหน่ายระบบปฏิบัติการหรือ AMI เพื่อขอข้อมูลอัปเดตและคำแนะนำ

การอัปเดตสำหรับบริการอื่นๆ ของ AWS

Amazon Linux AMI (รหัสกระดานข่าว: ALAS-2018-939)

เคอร์เนลที่ได้รับการอัปเดตสำหรับ Amazon Linux จะพร้อมใช้งานภายในที่เก็บ Amazon Linux EC2 instance ที่เปิดใช้งานด้วยการกำหนดค่าเริ่มต้นของ Amazon Linux ณ เวลาหรือหลังจาก 22:45 น. (GMT) ของวันที่ 3 มกราคม 2018 จะรวมอยู่ในแพคเกจที่ได้รับการอัปเดต ลูกค้าที่มีอินสแตนซ์ Amazon Linux AMI ปัจจุบันควรเรียกใช้คำสั่งดังต่อไปนี้เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:

sudo yum update kernel

เมื่อการอัปเดต Yum เสร็จสิ้น จะต้องรีบูตเพื่อให้การอัปเดตมีผล

ข้อมูลเพิ่มเติมเกี่ยวกับกระดานข่าวนี้สามารถดูได้ที่ ศูนย์ความปลอดภัย Amazon Linux AMI

EC2 Windows

เรากำลังอัปเดต Windows Server AMI ค่าเริ่มต้นและเราจะอัปเดตกระดานข่าวนี้เมื่อพร้อมเผยแพร่

ECS Optimized AMI

เราได้ปล่อย Amazon ECS Optimized AMI เวอร์ชัน 2017.09.e ซึ่งมีการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ เราแนะนำให้ลูกค้า Amazon ECS ทั้งหมดอัปเกรดเป็นเวอร์ชันล่าสุดนี้ ซึ่งพร้อมใช้งานใน AWS Marketplace ลูกค้าที่เลือกอัปเดตอินสแตนซ์ที่มีให้อยู่แล้วควรเรียกใช้คำสั่งต่อไปนี้กับแต่ละอินสแตนซ์คอนเทนเนอร์

sudo yum update kernel

จะต้องรีบูตอินสแตนซ์คอนเทนเนอร์เพื่อเสร็จสิ้นขั้นตอน

เราขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ติดต่อผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่นเพื่อขอการอัปเดตและคำแนะนำที่ต้องการ คำแนะนำเกี่ยวกับ Amazon Linux สามารถดูได้ใน ศูนย์ความปลอดภัยของ Amazon Linux AMI

Microsoft Windows EC2 และ ECS Optimized AMI ที่อัปเดตแล้วจะเผยแพร่เป็นแพทช์ Microsoft และเปิดให้ใช้งาน

Elastic Beanstalk

เราจะเผยแพร่เวอร์ชันแพลตฟอร์มใหม่ที่มีการอัปเดตเคอร์เนลเพื่อแก้ไขปัญหานี้ภายใน 48 ชั่วโมง สำหรับสภาพแวดล้อม Linux เราขอแนะนำให้เปิดใช้งาน “การอัปเดตแพลตฟอร์มที่ได้รับการจัดการ” เพื่ออัปเดตโดยอัตโนมัติภายในหน้าต่างบำรุงรักษาที่คุณเลือก เมื่อการอัปเดตเหล่านี้พร้อมให้ใช้งาน เราจะโพสต์คำแนะนำสำหรับสภาพแวดล้อม Windows เมื่อมีการอัปเดตที่พร้อมให้ใช้งาน  

AWS Fargate

โครงสร้างพื้นฐานทั้งหมดที่เรียกใช้งาน Fargate ได้รับการแพทช์ตามที่อธิบายไว้ข้างต้นแล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ

Amazon FreeRTOS

ไม่มีอัปเดตที่จำเป็นหรือที่ต้องดำเนินการกับ Amazon FreeRTOS และตัวประมวลผล ARM ที่รองรับ

AWS Lambda

อินสแตนซ์ทั้งหมดที่เรียกใช้ฟังก์ชัน Lambda ได้รับการแพทช์ตามที่อธิบายไว้ข้างต้นและลูกค้าไม่จำเป็นต้องดำเนินการใดๆ

VMware Cloud on AWS

โปรดดูที่คำแนะนำด้านความปลอดภัย VMware ที่นี่เพื่อดูรายละเอียดเพิ่มเติม: https://www.vmware.com/security/advisories/VMSA-2018-0002.html

WorkSpaces

AWS จะใช้งานการอัปเดตด้านความปลอดภัยที่ Microsoft เผยแพร่ไปยัง AWS WorkSpace ส่วนมากในสัปดาห์ที่จะมาถึงนี้ โปรดทราบว่า WorkSpace จะมีการรีบูตในช่วงเวลานี้

ลูกค้าที่ใช้คุณสมบัติ Bring Your Own License (BYOL) และลูกค้าที่เปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ของตนควรปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง

โปรดปฏิบัติตามคำแนะนำที่ส่วนให้คำปรึกษาด้านความปลอดภัยของ Microsoft ระบุไว้ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 การให้คำปรึกษาด้านความปลอดภัยมีลิงก์ไปยังบทความฐานความรู้สำหรับทั้งระบบปฏิบัติการ Windows Server และไคลเอ็นต์ที่มีข้อมูลเฉพาะเพิ่มเติม

ชุด WorkSpaces ที่ได้รับการอัปเดตจะพร้อมใช้งานกับการอัปเดตด้านความปลอดภัยเร็วๆ นี้ ลูกค้าที่ได้สร้าง Custom Bundles ควรอัปเดตชุดของตนให้มีการอัปเดตด้านความปลอดภัยด้วยตนเอง WorkSpaces ใหม่ใดก็ตามที่เปิดใช้งานจากชุดที่ไม่มีการอัปเดตจะได้รับแพทช์ทันทีที่เปิดใช้งาน นอกจากลูกค้าจะเปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ในกรณีนี้ พวกเขาควรปฏิบัติตามขั้นตอนข้างต้นเพื่อปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง

WorkSpaces Application Manager (WAM)

เราขอแนะนำให้ลูกค้าเลือกหนึ่งในขั้นตอนการดำเนินการต่อไปนี้:

ตัวเลือกที่ 1: ปรับใช้แพทช์ของ Microsoft ด้วยตนเองเมื่อเรียกใช้อินสแตนซ์ของ WAM Packager และ Validator โดยการปฏิบัติตามขั้นตอนที่ Microsoft อธิบายไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution หน้านี้มีคำแนะนำเพิ่มเติมและการดาวน์โหลดสำหรับ Windows Server

ตัวเลือกที่ 2: สร้างอินสแตนซ์ WAM Packager และ Validator EC2 ขึ้นใหม่จาก AMI ที่อัปเดตแล้วสำหรับ WAM Packager และ Validator ซึ่งจะเปิดให้ใช้งานภายในวันที่ 04/01/2018