คุณกำลังดูเวอร์ชันก่อนหน้าของกระดานข่าวความปลอดภัย สำหรับเวอร์ชันล่าสุดโปรดไปที่ "การเปิดเผยการวิจัยการดำเนินการแบบคาดการณ์ของตัวประมวลผล"
เกี่ยวกับ: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
อัปเดตเมื่อ: 5/1/2018 13:30 น. เวลามาตรฐานแปซิฟิก
นี่คือการอัปเดตเพื่อรับมือปัญหานี้
Amazon EC2
อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ได้รับการป้องกันจากภัยคุกคามที่ระบุได้ทั้งหมดของ CVE ที่แสดงก่อนหน้านี้ อินสแตนซ์ของลูกค้าได้รับการป้องกันจากภัยคุกคามเหล่านี้ที่มาจากอินสแตนซ์อื่นๆ เราไม่พบผลกระทบด้านประสิทธิภาพที่ที่สำคัญจากปริมาณงาน EC2 ส่วนใหญ่ที่ท่วมท้นนี้
การดำเนินการของลูกค้าที่แนะนำสำหรับ AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce และ Amazon Lightsail
ขณะที่อินสแตนซ์ลูกค้าทั้งหมดได้รับการปกป้อง เราแนะนำให้ลูกค้าแพทช์ระบบปฏิบัติการอินสแตนซ์ของตนด้วย การแพทช์จะช่วยเสริมประสิทธิภาพการปกป้องได้ เนื่องจากระบบปฏิบัติการเหล่านี้จะให้ซอฟต์แวร์ที่ทำงานแยกต่างหากภายในอินสแตนซ์เดียวกัน หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคำแนะนำเฉพาะโดยผู้จำหน่ายเกี่ยวกับความพร้อมในการแพทช์และติดตั้งใช้จริง
คำแนะนำเฉพาะโดยผู้จำหน่าย:
- Amazon Linux – ดูข้อมูลเพิ่มเติมได้ด้านล่าง
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
สำหรับระบบปฏิบัติการที่ไม่ได้อยู่ในรายการนี้ ลูกค้าควรขอคำปรึกษากับผู้จัดจำหน่ายระบบปฏิบัติการหรือ AMI เพื่อขอข้อมูลอัปเดตและคำแนะนำ
การอัปเดตสำหรับบริการอื่นๆ ของ AWS
Amazon Linux AMI (รหัสกระดานข่าว: ALAS-2018-939)
เคอร์เนลที่ได้รับการอัปเดตสำหรับ Amazon Linux จะพร้อมใช้งานภายในที่เก็บ Amazon Linux EC2 instance ที่เปิดใช้งานด้วยการกำหนดค่าเริ่มต้นของ Amazon Linux ณ เวลาหรือหลังจาก 22:45 น. (GMT) ของวันที่ 3 มกราคม 2018 จะรวมอยู่ในแพคเกจที่ได้รับการอัปเดต ลูกค้าที่มีอินสแตนซ์ Amazon Linux AMI ปัจจุบันควรเรียกใช้คำสั่งดังต่อไปนี้เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:
sudo yum update kernel
เมื่อการอัปเดต Yum เสร็จสิ้น จะต้องรีบูตเพื่อให้การอัปเดตมีผล
ข้อมูลเพิ่มเติมเกี่ยวกับกระดานข่าวนี้สามารถดูได้ที่ ศูนย์ความปลอดภัย Amazon Linux AMI
EC2 Windows
เรากำลังอัปเดต Windows Server AMI ค่าเริ่มต้นและเราจะอัปเดตกระดานข่าวนี้เมื่อพร้อมเผยแพร่
ECS Optimized AMI
เราได้ปล่อย Amazon ECS Optimized AMI เวอร์ชัน 2017.09.e ซึ่งมีการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ เราแนะนำให้ลูกค้า Amazon ECS ทั้งหมดอัปเกรดเป็นเวอร์ชันล่าสุดนี้ ซึ่งพร้อมใช้งานใน AWS Marketplace ลูกค้าที่เลือกอัปเดตอินสแตนซ์ที่มีให้อยู่แล้วควรเรียกใช้คำสั่งต่อไปนี้กับแต่ละอินสแตนซ์คอนเทนเนอร์
sudo yum update kernel
จะต้องรีบูตอินสแตนซ์คอนเทนเนอร์เพื่อเสร็จสิ้นขั้นตอน
เราขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ติดต่อผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่นเพื่อขอการอัปเดตและคำแนะนำที่ต้องการ คำแนะนำเกี่ยวกับ Amazon Linux สามารถดูได้ใน ศูนย์ความปลอดภัยของ Amazon Linux AMI
Microsoft Windows EC2 และ ECS Optimized AMI ที่อัปเดตแล้วจะเผยแพร่เป็นแพทช์ Microsoft และเปิดให้ใช้งาน
Elastic Beanstalk
เราจะเผยแพร่เวอร์ชันแพลตฟอร์มใหม่ที่มีการอัปเดตเคอร์เนลเพื่อแก้ไขปัญหานี้ภายใน 48 ชั่วโมง สำหรับสภาพแวดล้อม Linux เราขอแนะนำให้เปิดใช้งาน “การอัปเดตแพลตฟอร์มที่ได้รับการจัดการ” เพื่ออัปเดตโดยอัตโนมัติภายในหน้าต่างบำรุงรักษาที่คุณเลือก เมื่อการอัปเดตเหล่านี้พร้อมให้ใช้งาน เราจะโพสต์คำแนะนำสำหรับสภาพแวดล้อม Windows เมื่อมีการอัปเดตที่พร้อมให้ใช้งาน
AWS Fargate
โครงสร้างพื้นฐานทั้งหมดที่เรียกใช้งาน Fargate ได้รับการแพทช์ตามที่อธิบายไว้ข้างต้นแล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
Amazon FreeRTOS
ไม่มีอัปเดตที่จำเป็นหรือที่ต้องดำเนินการกับ Amazon FreeRTOS และตัวประมวลผล ARM ที่รองรับ
AWS Lambda
อินสแตนซ์ทั้งหมดที่เรียกใช้ฟังก์ชัน Lambda ได้รับการแพทช์ตามที่อธิบายไว้ข้างต้นและลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
VMware Cloud on AWS
โปรดดูที่คำแนะนำด้านความปลอดภัย VMware ที่นี่เพื่อดูรายละเอียดเพิ่มเติม: https://www.vmware.com/security/advisories/VMSA-2018-0002.html
WorkSpaces
AWS จะใช้งานการอัปเดตด้านความปลอดภัยที่ Microsoft เผยแพร่ไปยัง AWS WorkSpace ส่วนมากในสัปดาห์ที่จะมาถึงนี้ โปรดทราบว่า WorkSpace จะมีการรีบูตในช่วงเวลานี้
ลูกค้าที่ใช้คุณสมบัติ Bring Your Own License (BYOL) และลูกค้าที่เปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ของตนควรปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
โปรดปฏิบัติตามคำแนะนำที่ส่วนให้คำปรึกษาด้านความปลอดภัยของ Microsoft ระบุไว้ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 การให้คำปรึกษาด้านความปลอดภัยมีลิงก์ไปยังบทความฐานความรู้สำหรับทั้งระบบปฏิบัติการ Windows Server และไคลเอ็นต์ที่มีข้อมูลเฉพาะเพิ่มเติม
ชุด WorkSpaces ที่ได้รับการอัปเดตจะพร้อมใช้งานกับการอัปเดตด้านความปลอดภัยเร็วๆ นี้ ลูกค้าที่ได้สร้าง Custom Bundles ควรอัปเดตชุดของตนให้มีการอัปเดตด้านความปลอดภัยด้วยตนเอง WorkSpaces ใหม่ใดก็ตามที่เปิดใช้งานจากชุดที่ไม่มีการอัปเดตจะได้รับแพทช์ทันทีที่เปิดใช้งาน นอกจากลูกค้าจะเปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ในกรณีนี้ พวกเขาควรปฏิบัติตามขั้นตอนข้างต้นเพื่อปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
WorkSpaces Application Manager (WAM)
เราขอแนะนำให้ลูกค้าเลือกหนึ่งในขั้นตอนการดำเนินการต่อไปนี้:
ตัวเลือกที่ 1: ปรับใช้แพทช์ของ Microsoft ด้วยตนเองเมื่อเรียกใช้อินสแตนซ์ของ WAM Packager และ Validator โดยการปฏิบัติตามขั้นตอนที่ Microsoft อธิบายไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution หน้านี้มีคำแนะนำเพิ่มเติมและการดาวน์โหลดสำหรับ Windows Server
ตัวเลือกที่ 2: สร้างอินสแตนซ์ WAM Packager และ Validator EC2 ขึ้นใหม่จาก AMI ที่อัปเดตแล้วสำหรับ WAM Packager และ Validator ซึ่งจะเปิดให้ใช้งานภายในวันที่ 04/01/2018