คุณกำลังดูเวอร์ชันก่อนหน้าของกระดานข่าวความปลอดภัย สำหรับเวอร์ชันล่าสุดโปรดไปที่ "การเปิดเผยการวิจัยการดำเนินการแบบคาดการณ์ของตัวประมวลผล"
เกี่ยวกับ: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
อัปเดตเมื่อ: 5/1/2018 21:00 น. เวลามาตรฐานแปซิฟิก
นี่คือการอัปเดตเพื่อรับมือปัญหานี้
Amazon EC2
อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ได้รับการป้องกันจากภัยคุกคามที่ระบุได้ทั้งหมดของ CVE ที่แสดงก่อนหน้านี้ อินสแตนซ์ของลูกค้าได้รับการป้องกันจากภัยคุกคามเหล่านี้ที่มาจากอินสแตนซ์อื่นๆ เราไม่พบผลกระทบด้านประสิทธิภาพที่สำคัญจากปริมาณงาน EC2 ส่วนใหญ่ที่ท่วมท้นนี้
การดำเนินการของลูกค้าที่แนะนำสำหรับ AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce และ Amazon Lightsail
ขณะที่อินสแตนซ์ลูกค้าทั้งหมดได้รับการปกป้อง เราแนะนำให้ลูกค้าแพตช์ระบบปฏิบัติการอินสแตนซ์ของตนด้วย การแพตช์จะช่วยเสริมประสิทธิภาพการปกป้องได้ เนื่องจากระบบปฏิบัติการเหล่านี้จะให้ซอฟต์แวร์ที่ทำงานแยกต่างหากภายในอินสแตนซ์เดียวกัน หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคำแนะนำเฉพาะโดยผู้จำหน่ายเกี่ยวกับความพร้อมในการแพตช์และติดตั้งใช้จริง
คำแนะนำเฉพาะโดยผู้จำหน่าย:
- Amazon Linux – ดูข้อมูลเพิ่มเติมได้ด้านล่าง
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
สำหรับระบบปฏิบัติการที่ไม่ได้อยู่ในรายการนี้ ลูกค้าควรขอคำปรึกษากับผู้จัดจำหน่ายระบบปฏิบัติการหรือ AMI เพื่อขอข้อมูลอัปเดตและคำแนะนำ
การอัปเดตสำหรับบริการอื่นๆ ของ AWS
Amazon Linux AMI (ID กระดานข่าว: ALAS-2018-939)
เคอร์เนลที่ได้รับการอัปเดตสำหรับ Amazon Linux จะพร้อมใช้งานภายในที่เก็บ Amazon Linux EC2 instance ที่เปิดใช้งานด้วยการกำหนดค่าเริ่มต้นของ Amazon Linux ณ เวลาหรือหลังจาก 22:45 น. (GMT) ของวันที่ 3 มกราคม 2018 จะรวมอยู่ในแพคเกจที่ได้รับการอัปเดต ลูกค้าที่มีอินสแตนซ์ Amazon Linux AMI ปัจจุบันควรเรียกใช้คำสั่งดังต่อไปนี้เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:
sudo yum update kernel
เมื่อการอัปเดต Yum เสร็จสิ้น จะต้องรีบูตเพื่อให้การอัปเดตมีผล
ข้อมูลเพิ่มเติมเกี่ยวกับกระดานข่าวนี้สามารถดูได้ที่ ศูนย์ความปลอดภัย Amazon Linux AMI
EC2 Windows
เรากำลังอัปเดต Windows Server AMI ค่าเริ่มต้นและเราจะอัปเดตกระดานข่าวนี้เมื่อพร้อมเผยแพร่
ECS Optimized AMI
เราได้ปล่อย Amazon ECS Optimized AMI เวอร์ชัน 2017.09.e ซึ่งมีการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ เราแนะนำให้ลูกค้า Amazon ECS ทั้งหมดอัปเกรดเป็นเวอร์ชันล่าสุดนี้ ซึ่งพร้อมใช้งานใน AWS Marketplace ลูกค้าที่เลือกอัปเดตอินสแตนซ์ที่มีให้อยู่แล้วควรเรียกใช้คำสั่งต่อไปนี้กับแต่ละอินสแตนซ์คอนเทนเนอร์
sudo yum update kernel
จะต้องรีบูตอินสแตนซ์คอนเทนเนอร์เพื่อเสร็จสิ้นขั้นตอน
เราขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ติดต่อผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่นเพื่อขอการอัปเดตและคำแนะนำที่ต้องการ คำแนะนำเกี่ยวกับ Amazon Linux สามารถดูได้ใน ศูนย์ความปลอดภัยของ Amazon Linux AMI
Microsoft Windows EC2 และ ECS Optimized AMI ที่อัปเดตแล้วจะเผยแพร่เป็นแพตช์ Microsoft และเปิดให้ใช้งาน
Elastic Beanstalk
เราจะเผยแพร่เวอร์ชันแพลตฟอร์มใหม่ที่มีการอัปเดตเคอร์เนลเพื่อแก้ไขปัญหานี้ภายใน 48 ชั่วโมง สำหรับสภาพแวดล้อม Linux เราขอแนะนำให้เปิดใช้งาน “การอัปเดตแพลตฟอร์มที่ได้รับการจัดการ” เพื่ออัปเดตโดยอัตโนมัติภายในหน้าต่างบำรุงรักษาที่คุณเลือก เมื่อการอัปเดตเหล่านี้พร้อมให้ใช้งาน เราจะโพสต์คำแนะนำสำหรับสภาพแวดล้อม Windows เมื่อมีการอัปเดตที่พร้อมให้ใช้งาน
AWS Fargate
โครงสร้างพื้นฐานทั้งหมดที่เรียกใช้งาน Fargate ได้รับการแพตช์ตามที่อธิบายไว้ข้างต้นแล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
Amazon FreeRTOS
ไม่มีอัปเดตที่จำเป็นหรือที่ต้องดำเนินการกับ Amazon FreeRTOS และตัวประมวลผล ARM ที่รองรับ
AWS Lambda
อินสแตนซ์ทั้งหมดที่เรียกใช้ฟังก์ชัน Lambda ได้รับการแพตช์ตามที่อธิบายไว้ข้างต้นและลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
RDS
อินสแตนซ์ฐานข้อมูลของลูกค้า RDS ที่มีการจัดการแต่ละโหนดมีหน้าที่เรียกใช้กลไกฐานข้อมูลของลูกค้าหนึ่งรายโดยเฉพาะ โดยจะไม่มีกระบวนการอื่นๆ ที่ลูกค้าสามารถเข้าถึงได้และลูกค้าจะไม่สามารถเรียกใช้โค้ดกับอินสแตนซ์ได้ เมื่อ AWS ป้องกันโครงสร้างพื้นฐานที่เกี่ยวข้องกับ RDS เสร็จสมบูรณ์ ข้อกังวลระหว่างกระบวนการต่อเคอร์เนลหรือกระบวนการต่อกระบวนการของปัญหานี้จะไม่ก่อให้เกิดความเสี่ยงต่อลูกค้า การสนับสนุนกลไกฐานข้อมูล RDS ส่วนใหญ่ได้รายงานว่ายังไม่มีข้อกังวลเกี่ยวกับกระบวนการภายในที่ทราบในขณะนี้ รายละเอียดเพิ่มเติมเกี่ยวกับกลไกฐานข้อมูลอยู่ทางด้านล่าง และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ นอกจากจะมีการระบุไว้เป็นอย่างอื่น เราจะอัปเดตกระดานข่าวเมื่อมีข้อมูลเพิ่มเติม
RDS สำหรับ MariaDB, RDS สำหรับ MySQL, Aurora MySQL และ RDS สำหรับอินสแตนซ์ฐานข้อมูล Oracle ไม่จำเป็นต้องมีการดำเนินการจากลูกค้า
สำหรับ RDS PostgreSQL และ Aurora PostgreSQL นั้น อินสแตนซ์ DB จะทำงานตามการกำหนดค่าเริ่มต้นในปัจจุบัน โดยลูกค้าไม่จำเป็นต้องดำเนินการ เราจะมอบแพตช์ที่เหมาะสมให้กับผู้ใช้ส่วนขยาย plv8 เมื่อพร้อมใช้งาน ในระหว่างนี้ ลูกค้าที่เปิดใช้งานส่วนขยาย plv8 (มีการปิดใช้งานตามค่าเริ่มต้น) ควรพิจารณาการปิดใช้งานและดูคำแนะนำของ V8 ที่ https://github.com/v8/v8/wiki/Untrusted-code-mitigations
เกี่ยวกับ RDS สำหรับอินสแตนซ์ฐานข้อมูล SQL Server เราจะปล่อยระบบปฏิบัติการและแพตช์กลไกฐานข้อมูลตามที่ Microsoft จัดเตรียมไว้ให้ ซึ่งช่วยให้ลูกค้าสามารถอัปเกรดได้ในเวลาที่ตนเลือก เราจะอัปเดตกระดานข่าวนี้เมื่อทุกอย่างเสร็จสมบูรณ์ ในระหว่างนี้ ลูกค้าที่เปิดใช้งาน CLR (มีการปิดใช้งานตามค่าเริ่มต้น) ควรตรวจสอบคำแนะนำของ Microsoft เกี่ยวกับการปิดใช้งานส่วนขยาย CLR ที่ https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
VMware Cloud on AWS
โปรดดูที่คำแนะนำด้านความปลอดภัย VMware ที่นี่เพื่อดูรายละเอียดเพิ่มเติม: https://www.vmware.com/security/advisories/VMSA-2018-0002.html
WorkSpaces
AWS จะใช้งานการอัปเดตด้านความปลอดภัยที่ Microsoft เผยแพร่ไปยัง AWS WorkSpace ส่วนมากในสัปดาห์ที่จะมาถึงนี้ โปรดทราบว่า WorkSpace จะมีการรีบูตในช่วงเวลานี้
ลูกค้าที่ใช้คุณสมบัติ Bring Your Own License (BYOL) และลูกค้าที่เปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ของตนควรปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
โปรดปฏิบัติตามคำแนะนำที่ส่วนให้คำปรึกษาด้านความปลอดภัยของ Microsoft ระบุไว้ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 การให้คำปรึกษาด้านความปลอดภัยมีลิงก์ไปยังบทความฐานความรู้สำหรับทั้งระบบปฏิบัติการ Windows Server และไคลเอ็นต์ที่มีข้อมูลเฉพาะเพิ่มเติม
ชุด WorkSpaces ที่ได้รับการอัปเดตจะพร้อมใช้งานกับการอัปเดตด้านความปลอดภัยเร็วๆ นี้ ลูกค้าที่ได้สร้าง Custom Bundles ควรอัปเดตชุดของตนให้มีการอัปเดตด้านความปลอดภัยด้วยตนเอง WorkSpaces ใหม่ใดก็ตามที่เปิดใช้งานจากชุดที่ไม่มีการอัปเดตจะได้รับแพตช์ทันทีที่เปิดใช้งาน นอกจากลูกค้าจะเปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ในกรณีนี้ พวกเขาควรปฏิบัติตามขั้นตอนข้างต้นเพื่อปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
WorkSpaces Application Manager (WAM)
เราขอแนะนำให้ลูกค้าเลือกหนึ่งในขั้นตอนการดำเนินการต่อไปนี้:
ตัวเลือกที่ 1: ปรับใช้แพตช์ของ Microsoft ด้วยตนเองเมื่อเรียกใช้อินสแตนซ์ของ WAM Packager และ Validator โดยการปฏิบัติตามขั้นตอนที่ Microsoft อธิบายไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution หน้านี้มีคำแนะนำเพิ่มเติมและการดาวน์โหลดสำหรับ Windows Server
ตัวเลือกที่ 2: สร้างอินสแตนซ์ WAM Packager และ Validator EC2 ขึ้นใหม่จาก AMI ที่อัปเดตแล้วสำหรับ WAM Packager และ Validator ซึ่งจะเปิดให้ใช้งานภายในวันที่ 04/01/2018