การเปิดเผยการวิจัยการดำเนินการแบบคาดการณ์ของตัวประมวลผล (v6)

คุณกำลังดูเวอร์ชันก่อนหน้าของกระดานข่าวความปลอดภัย สำหรับเวอร์ชันล่าสุดโปรดไปที่ "การเปิดเผยการวิจัยการดำเนินการแบบคาดการณ์ของตัวประมวลผล"

เกี่ยวกับ: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

อัปเดตเมื่อ: 7/1/2018 11:30 น. เวลามาตรฐานแปซิฟิก

นี่คือการอัปเดตเพื่อรับมือปัญหานี้

Amazon EC2

อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ได้รับการป้องกันจากภัยคุกคามที่ระบุได้ทั้งหมดของ CVE ที่แสดงก่อนหน้านี้ อินสแตนซ์ของลูกค้าได้รับการป้องกันจากภัยคุกคามเหล่านี้ที่มาจากอินสแตนซ์อื่นๆ เราไม่พบผลกระทบด้านประสิทธิภาพที่ที่สำคัญจากปริมาณงาน EC2 ส่วนใหญ่ที่ท่วมท้นนี้

การดำเนินการของลูกค้าที่แนะนำสำหรับ AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce และ Amazon Lightsail

ขณะที่อินสแตนซ์ลูกค้าทั้งหมดได้รับการปกป้อง เราแนะนำให้ลูกค้าแพทช์ระบบปฏิบัติการอินสแตนซ์ของตนด้วย การแพทช์จะช่วยเสริมประสิทธิภาพการปกป้องได้ เนื่องจากระบบปฏิบัติการเหล่านี้จะให้ซอฟต์แวร์ที่ทำงานแยกต่างหากภายในอินสแตนซ์เดียวกัน หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคำแนะนำเฉพาะโดยผู้จำหน่ายเกี่ยวกับความพร้อมในการแพทช์และติดตั้งใช้จริง

คำแนะนำเฉพาะโดยผู้จำหน่าย:

สำหรับระบบปฏิบัติการที่ไม่ได้อยู่ในรายการนี้ ลูกค้าควรขอคำปรึกษากับผู้จัดจำหน่ายระบบปฏิบัติการหรือ AMI เพื่อขอข้อมูลอัปเดตและคำแนะนำ

การอัปเดตสำหรับบริการอื่นๆ ของ AWS

Amazon Linux AMI (ID กระดานข่าว: ALAS-2018-939)

เคอร์เนลที่ได้รับการอัปเดตสำหรับ Amazon Linux จะพร้อมใช้งานภายในที่เก็บ Amazon Linux EC2 instance ที่เปิดใช้งานด้วยการกำหนดค่าเริ่มต้นของ Amazon Linux ณ เวลาหรือหลังจาก 22:45 น. (GMT) ของวันที่ 3 มกราคม 2018 จะรวมอยู่ในแพคเกจที่ได้รับการอัปเดต ลูกค้าที่มีอินสแตนซ์ Amazon Linux AMI ปัจจุบันควรเรียกใช้คำสั่งดังต่อไปนี้เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:

sudo yum update kernel

เมื่อการอัปเดต Yum เสร็จสิ้น จะต้องรีบูตเพื่อให้การอัปเดตมีผล

ข้อมูลเพิ่มเติมเกี่ยวกับกระดานข่าวนี้สามารถดูได้ที่ ศูนย์ความปลอดภัย Amazon Linux AMI

EC2 Windows

เราได้อัปเดต AWS Windows AMI แล้ว การอัปเดตนี้พร้อมให้ลูกค้าใช้งานแล้ว และ AWS Windows AMI ยังได้ติดตั้งแพทช์ที่จำเป็น รวมถึงเปิดใช้งานรีจิสทรีคีย์ไว้อีกด้วย

Microsoft ได้มอบแพทช์ Windows สำหรับ Server 2008R2, 2012R2 และ 2016 แพทช์ต่างๆ จะพร้อมให้ใช้งานผ่านบริการอัปเดต Windows ที่ติดตั้งภายในสำหรับ Server 2016 เรากำลังรอข้อมูลจาก Microsoft เกี่ยวกับความพร้อมในการใช้งานของแพทช์สำหรับ Server 2003, 2008SP2 และ 2012RTM

ลูกค้า AWS ที่ใช้งานอินสแตนซ์ Windows บน EC2 เปิด “การอัปเดตอัตโนมัติ” แล้วควรเปิดการอัปเดตอัตโนมัติเพื่อดาวน์โหลดและติดตั้งการอัปเดตที่จำเป็นสำหรับ Windows ทุกครั้งที่มีการอัปเดต

โปรดทราบว่า แพทช์ Server 2008R2 และ 2012R2 ไม่พร้อมใช้งานในขณะนี้ผ่านการดาวน์โหลดด้วยตนเองของ Windows Update ที่จำเป็น Microsoft ขอแจ้งว่าแพทช์เหล่านี้จะพร้อมให้ใช้งานในวันอังคารที่ 9 มกราคม

ลูกค้า AMS ที่เรียกใช้อินสแตนซ์ Windoes บน EC2 ที่ยังไม่ได้เปิดใช้งาน “การอัปเดตอัตโนมัติ” ควรติดตั้งการอัปเดตที่จำเป็นด้วยตนเองเมื่อมีการอัปเดตใหม่ๆ โดยทำตามคำแนะนำที่นี่ http://windows.microsoft.com/en-us/windows7/install-windows-updates

โปรดทราบว่า สำหรับ Windows Server จะต้องมีการดำเนินการขั้นตอนเพิ่มเติมโดย Microsoft เพื่อเปิดใช้งานคุณสมบัติการป้องกันการอัปเดตสำหรับปัญหานี้ ตามข้อมูลที่นี่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

ECS Optimized AMI

เราได้ปล่อย Amazon ECS Optimized AMI เวอร์ชัน 2017.09.e ซึ่งมีการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ เราแนะนำให้ลูกค้า Amazon ECS ทั้งหมดอัปเกรดเป็นเวอร์ชันล่าสุดนี้ ซึ่งพร้อมใช้งานใน AWS Marketplace ลูกค้าที่เลือกอัปเดตอินสแตนซ์ที่มีให้อยู่แล้วควรเรียกใช้คำสั่งต่อไปนี้กับแต่ละอินสแตนซ์คอนเทนเนอร์

sudo yum update kernel

จะต้องรีบูตอินสแตนซ์คอนเทนเนอร์เพื่อเสร็จสิ้นขั้นตอน

เราขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ติดต่อผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่นเพื่อขอการอัปเดตและคำแนะนำที่ต้องการ คำแนะนำเกี่ยวกับ Amazon Linux สามารถดูได้ใน ศูนย์ความปลอดภัยของ Amazon Linux AMI

Microsoft Windows EC2 และ ECS Optimized AMI ที่อัปเดตแล้วจะเผยแพร่เป็นแพทช์ Microsoft และเปิดให้ใช้งาน

Elastic Beanstalk

เราจะเผยแพร่เวอร์ชันแพลตฟอร์มใหม่ที่มีการอัปเดตเคอร์เนลเพื่อแก้ไขปัญหานี้ภายใน 48 ชั่วโมง สำหรับสภาพแวดล้อม Linux เราขอแนะนำให้เปิดใช้งาน “การอัปเดตแพลตฟอร์มที่ได้รับการจัดการ” เพื่ออัปเดตโดยอัตโนมัติภายในหน้าต่างบำรุงรักษาที่คุณเลือก เมื่อการอัปเดตเหล่านี้พร้อมให้ใช้งาน เราจะโพสต์คำแนะนำสำหรับสภาพแวดล้อม Windows เมื่อมีการอัปเดตที่พร้อมให้ใช้งาน  

AWS Fargate

โครงสร้างพื้นฐานทั้งหมดที่เรียกใช้งาน Fargate ได้รับการแพทช์ตามที่อธิบายไว้ข้างต้นแล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ

Amazon FreeRTOS

ไม่มีอัปเดตที่จำเป็นหรือที่ต้องดำเนินการกับ Amazon FreeRTOS และตัวประมวลผล ARM ที่รองรับ

AWS Lambda

อินสแตนซ์ทั้งหมดที่เรียกใช้ฟังก์ชัน Lambda ได้รับการแพทช์ตามที่อธิบายไว้ข้างต้นและลูกค้าไม่จำเป็นต้องดำเนินการใดๆ

RDS

อินสแตนซ์ฐานข้อมูลของลูกค้า RDS ที่มีการจัดการแต่ละโหนดมีหน้าที่เรียกใช้กลไกฐานข้อมูลของลูกค้าหนึ่งรายโดยเฉพาะ โดยจะไม่มีกระบวนการอื่นๆ ที่ลูกค้าสามารถเข้าถึงได้และลูกค้าจะไม่สามารถเรียกใช้โค้ดกับอินสแตนซ์ได้ เมื่อ AWS ป้องกันโครงสร้างพื้นฐานที่เกี่ยวข้องกับ RDS เสร็จสมบูรณ์ ข้อกังวลระหว่างกระบวนการต่อเคอร์เนลหรือกระบวนการต่อกระบวนการของปัญหานี้จะไม่ก่อให้เกิดความเสี่ยงต่อลูกค้า การสนับสนุนกลไกฐานข้อมูล RDS ส่วนใหญ่ได้รายงานว่ายังไม่มีข้อกังวลเกี่ยวกับกระบวนการภายในที่ทราบในขณะนี้ รายละเอียดเพิ่มเติมเกี่ยวกับกลไกฐานข้อมูลอยู่ทางด้านล่าง และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ นอกจากจะมีการระบุไว้เป็นอย่างอื่น เราจะอัปเดตกระดานข่าวเมื่อมีข้อมูลเพิ่มเติม

RDS สำหรับ MariaDB, RDS สำหรับ MySQL, Aurora MySQL และ RDS สำหรับอินสแตนซ์ฐานข้อมูล Oracle ไม่จำเป็นต้องมีการดำเนินการจากลูกค้า

สำหรับ RDS PostgreSQL และ Aurora PostgreSQL นั้น อินสแตนซ์ DB จะทำงานตามการกำหนดค่าเริ่มต้นในปัจจุบัน โดยลูกค้าไม่จำเป็นต้องดำเนินการ เราจะมอบแพทช์ที่เหมาะสมให้กับผู้ใช้ส่วนขยาย plv8 เมื่อพร้อมใช้งาน ในระหว่างนี้ ลูกค้าที่เปิดใช้งานส่วนขยาย plv8 (มีการปิดใช้งานตามค่าเริ่มต้น) ควรพิจารณาการปิดใช้งานและดูคำแนะนำของ V8 ที่ https://github.com/v8/v8/wiki/Untrusted-code-mitigations

เกี่ยวกับ RDS สำหรับอินสแตนซ์ฐานข้อมูล SQL Server เราจะปล่อยระบบปฏิบัติการและแพทช์กลไกฐานข้อมูลตามที่ Microsoft จัดเตรียมไว้ให้ ซึ่งช่วยให้ลูกค้าสามารถอัปเกรดได้ในเวลาที่ตนเลือก เราจะอัปเดตกระดานข่าวนี้เมื่อทุกอย่างเสร็จสมบูรณ์ ในระหว่างนี้ ลูกค้าที่เปิดใช้งาน CLR (มีการปิดใช้งานตามค่าเริ่มต้น) ควรตรวจสอบคำแนะนำของ Microsoft เกี่ยวกับการปิดใช้งานส่วนขยาย CLR ที่ https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

VMware Cloud on AWS

โปรดดูที่คำแนะนำด้านความปลอดภัย VMware ที่นี่เพื่อดูรายละเอียดเพิ่มเติม: https://www.vmware.com/security/advisories/VMSA-2018-0002.html

WorkSpaces

AWS จะใช้งานการอัปเดตด้านความปลอดภัยที่ Microsoft เผยแพร่ไปยัง AWS WorkSpace ส่วนมากในสัปดาห์ที่จะมาถึงนี้ โปรดทราบว่า WorkSpace จะมีการรีบูตในช่วงเวลานี้

ลูกค้าที่ใช้คุณสมบัติ Bring Your Own License (BYOL) และลูกค้าที่เปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ของตนควรปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง

โปรดปฏิบัติตามคำแนะนำที่ส่วนให้คำปรึกษาด้านความปลอดภัยของ Microsoft ระบุไว้ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 การให้คำปรึกษาด้านความปลอดภัยมีลิงก์ไปยังบทความฐานความรู้สำหรับทั้งระบบปฏิบัติการ Windows Server และไคลเอ็นต์ที่มีข้อมูลเฉพาะเพิ่มเติม

ชุด WorkSpaces ที่ได้รับการอัปเดตจะพร้อมใช้งานกับการอัปเดตด้านความปลอดภัยเร็วๆ นี้ ลูกค้าที่ได้สร้าง Custom Bundles ควรอัปเดตชุดของตนให้มีการอัปเดตด้านความปลอดภัยด้วยตนเอง WorkSpaces ใหม่ใดก็ตามที่เปิดใช้งานจากชุดที่ไม่มีการอัปเดตจะได้รับแพทช์ทันทีที่เปิดใช้งาน นอกจากลูกค้าจะเปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ในกรณีนี้ พวกเขาควรปฏิบัติตามขั้นตอนข้างต้นเพื่อปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง

WorkSpaces Application Manager (WAM)

เราขอแนะนำให้ลูกค้าเลือกหนึ่งในขั้นตอนการดำเนินการต่อไปนี้:

ตัวเลือกที่ 1: ปรับใช้แพทช์ของ Microsoft ด้วยตนเองเมื่อเรียกใช้อินสแตนซ์ของ WAM Packager และ Validator โดยการปฏิบัติตามขั้นตอนที่ Microsoft อธิบายไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution หน้านี้มีคำแนะนำเพิ่มเติมและการดาวน์โหลดสำหรับ Windows Server

ตัวเลือกที่ 2: สร้างอินสแตนซ์ WAM Packager และ Validator EC2 ขึ้นใหม่จาก AMI ที่อัปเดตแล้วสำหรับ WAM Packager และ Validator ซึ่งจะเปิดให้ใช้งานภายในวันที่ 04/01/2018