คุณกำลังอ่านกระดานข่าวความปลอดภัยเวอร์ชั่นเก่า สำหรับเวอร์ชันล่าสุด โปรดไปที่ "การเปิดเผยการวิจัยการดำเนินการแบบคาดการณ์ของตัวประมวลผล"
เกี่ยวกับ: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
อัปเดตเมื่อ: 08/01/2018 14:25 น. เวลา PST
นี่คือการอัปเดตสำหรับปัญหานี้
Amazon EC2
อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ได้รับการป้องกันจากภัยคุกคามที่ระบุได้ทั้งหมดของ CVE ที่แสดงก่อนหน้านี้ อินสแตนซ์ของลูกค้าได้รับการป้องกันจากภัยคุกคามเหล่านี้ที่มาจากอินสแตนซ์อื่นๆ เราไม่พบผลกระทบด้านประสิทธิภาพที่ที่สำคัญจากปริมาณงาน EC2 เกือบทั้งหมด
การดำเนินการของลูกค้าที่แนะนำสำหรับ AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce และ Amazon Lightsail
แม้ว่าอินสแตนซ์ของลูกค้าทั้งหมดจะได้รับการป้องกันตามที่อธิบายไว้ข้างต้น เราขอแนะนำให้ลูกค้าติดตั้งโปรแกรมแก้ไขระบบปฏิบัติการของอินสแตนซ์ของตน การติดตั้งโปรแกรมแก้ไขจะช่วยเสริมประสิทธิภาพการปกป้องได้ เนื่องจากระบบปฏิบัติการเหล่านี้จะให้ซอฟต์แวร์ที่ทำงานแยกต่างหากภายในอินสแตนซ์เดียวกัน หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคำแนะนำเฉพาะของผู้จำหน่ายเกี่ยวกับความพร้อมในการติดตั้งโปรแกรมแก้ไขและติดตั้งใช้จริง
คำแนะนำเฉพาะผู้จำหน่าย:
- Amazon Linux – ดูข้อมูลเพิ่มเติมที่ด้านล่างนี้
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
สำหรับระบบปฏิบัติการที่ไม่ได้อยู่ในรายการนี้ ลูกค้าควรขอคำปรึกษากับผู้จัดจำหน่ายระบบปฏิบัติการหรือ AMI เพื่อขอข้อมูลอัปเดตและคำแนะนำ
การอัปเดตสำหรับบริการอื่นๆ ของ AWS
Amazon Linux AMI (ID กระดานข่าว: ALAS-2018-939)
เคอร์เนลที่ได้รับการอัปเดตสำหรับ Amazon Linux จะพร้อมใช้งานภายในที่เก็บ Amazon Linux อินสแตนซ์ EC2 ที่เปิดใช้ด้วยการกำหนดค่า Amazon Linux ตามค่าเริ่มต้นในวันที่ 3 มกราคม 2018 เวลา 22:45 น. (GMT) หรือหลังจากนั้นจะรวมแพคเกจที่อัปเดตแล้วโดยอัตโนมัติ ลูกค้าที่มีอินสแตนซ์ Amazon Linux AMI ปัจจุบันควรเรียกใช้คำสั่งดังต่อไปนี้เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:
sudo yum update kernel
เมื่อการอัปเดต Yum เสร็จสิ้น จะต้องรีบูตเพื่อให้การอัปเดตมีผล
สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับกระดานข่าวนี้ได้ที่ ศูนย์ความปลอดภัย Amazon Linux AMI
EC2 Windows
เราได้อัปเดต AWS Windows AMI แล้ว การอัปเดตนี้พร้อมให้ลูกค้าใช้งานแล้ว นอกจากนี้ AWS Windows AMI ยังได้ติดตั้งโปรแกรมใช้งานที่จำเป็นและเปิดใช้งานรีจิสทรีคีย์ไว้แล้ว
Microsoft มีโปรแกรมแก้ไข Windows สำหรับ Server 2008R2, 2012R2 และ 2016 แล้ว โปรแกรมแก้ไขต่างๆ จะพร้อมให้ใช้งานผ่านบริการอัปเดต Windows ที่มีอยู่แล้วสำหรับ Server 2016 เรากำลังรอข้อมูลจาก Microsoft เกี่ยวกับความพร้อมในการใช้งานของโปรแกรมแก้ไขสำหรับ Server 2003, 2008SP2 และ 2012RTM
ลูกค้า AWS ที่ใช้งานอินสแตนซ์ Windows บน EC2 ที่เปิดใช้งาน “การอัปเดตอัตโนมัติ” ควรเรียกใช้การอัปเดตอัตโนมัติเพื่อดาวน์โหลดและติดตั้งการอัปเดตที่จำเป็นสำหรับ Windows ทุกครั้งที่มีการอัปเดต
โปรดทราบว่าโปรแกรมแก้ไข Server 2008R2 และ 2012R2 ยังไม่พร้อมให้ใช้งานผ่านทาง Windows Update ที่ต้องดาวน์โหลดด้วยตนเองในขณะนี้ โดย Microsoft ขอแจ้งว่าโปรแกรมแก้ไขเหล่านี้จะพร้อมให้ใช้งานในวันอังคารที่ 9 มกราคม
ลูกค้า AWS ที่เรียกใช้อินสแตนซ์ Windows บน EC2 ที่ไม่ได้เปิดใช้งาน “การอัปเดตอัตโนมัติ” ควรติดตั้งการอัปเดตที่จำเป็นด้วยตนเองเมื่อการอัปเดตนั้นพร้อมใช้งาน โดยทำตามคำแนะนำที่นี่: http://windows.microsoft.com/en-us/windows7/install-windows-updates
โปรดทราบว่าใน Windows Server คุณจะต้องดำเนินการเพิ่มเติมตามขั้นตอนของ Microsoft เพื่อเปิดใช้งานคุณสมบัติการป้องกันการอัปเดตสำหรับปัญหานี้ ตามข้อมูลที่นี่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
ECS Optimized AMI
เราได้เผยแพร่ Amazon ECS Optimized AMI เวอร์ชัน 2017.09.e ซึ่งมีการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ เราแนะนำให้ลูกค้า Amazon ECS ทั้งหมดอัปเกรดเป็นเวอร์ชันล่าสุดนี้ ซึ่งสามารถดาวน์โหลดได้จาก AWS Marketplace ลูกค้าที่เลือกอัปเดตอินสแตนซ์เดิมควรเรียกใช้คำสั่งดังต่อไปนี้กับแต่ละอินสแตนซ์คอนเทนเนอร์:
sudo yum update kernel
จะต้องรีบูตอินสแตนซ์คอนเทนเนอร์เพื่อเสร็จสิ้นขั้นตอน
เราขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ติดต่อผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่นเพื่อขอการอัปเดตและคำแนะนำที่ต้องการ คำแนะนำเกี่ยวกับ Amazon Linux สามารถดูได้ใน ศูนย์ความปลอดภัยของ Amazon Linux AMI
Microsoft Windows EC2 และ ECS Optimized AMI ที่อัปเดตแล้วจะเผยแพร่เป็นโปรแกรมแก้ไข Microsoft และเปิดให้ใช้งาน
Elastic Beanstalk
เราได้อัปเดตแพลตฟอร์มทั้งหมดบน Linux เพื่อรวมการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้แล้ว ดู บันทึกย่อประจำรุ่น สำหรับข้อมูลเวอร์ชั่นของแพลตฟอร์ม ลูกค้าจะได้รับคำแนะนำให้อัปเดตสภาพแวดล้อมของตน สภาพแวดล้อมที่ใช้การอัปเดตที่มีการจัดการจะได้รับการอัปเดตโดยอัตโนมัติในระหว่างช่วงการบำรุงรักษาที่กำหนดค่าไว้
ทีม Elastic Beanstalk ยังคงทำงานกับการอัปเดตแพลตฟอร์มบน Windows อย่างต่อเนื่อง ลูกค้า Elastic Beanstalk ที่ใช้แพลตฟอร์มบน Windows จะได้รับคำแนะนำให้ติดตั้งการอัปเดตด้านความปลอดภัยที่มีให้ด้วยตนเอง โดยสามารถดูคำแนะนำได้ในส่วน “EC2 Windows” ด้านบนของกระดานข่าวนี้
AWS Fargate
โครงสร้างพื้นฐานทั้งหมดที่เรียกใช้งาน Fargate ได้รับการติดตั้งโปรแกรมแก้ไขตามที่อธิบายไว้ข้างต้นแล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
Amazon FreeRTOS
ไม่มีอัปเดตที่จำเป็นหรือที่ต้องดำเนินการกับ Amazon FreeRTOS และตัวประมวลผล ARM ที่รองรับ
AWS Lambda
อินสแตนซ์ทั้งหมดที่เรียกใช้ฟังก์ชัน Lambda ได้รับการติดตั้งโปรแกรมแก้ไขตามที่อธิบายไว้ข้างต้นและลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
RDS
อินสแตนซ์ฐานข้อมูลของลูกค้า RDS ที่มีการจัดการแต่ละโหนดมีหน้าที่เรียกใช้กลไกฐานข้อมูลของลูกค้าหนึ่งรายโดยเฉพาะ โดยจะไม่มีกระบวนการอื่นๆ ที่ลูกค้าสามารถเข้าถึงได้และลูกค้าจะไม่สามารถเรียกใช้โค้ดกับอินสแตนซ์ได้ เมื่อ AWS ป้องกันโครงสร้างพื้นฐานที่เกี่ยวข้องกับ RDS เสร็จสมบูรณ์ ข้อกังวลแบบกระบวนการต่อเคอร์เนลหรือกระบวนการต่อกระบวนการของปัญหานี้จะไม่ก่อให้เกิดความเสี่ยงต่อลูกค้า ทีมสนับสนุนกลไกฐานข้อมูล RDS ส่วนใหญ่ได้รายงานว่ายังไม่มีข้อกังวลเกี่ยวกับกระบวนการภายในที่ทราบในขณะนี้ ดูรายละเอียดเฉพาะเกี่ยวกับกลไกฐานข้อมูลได้ที่ด้านล่าง และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ นอกจากจะมีการระบุไว้เป็นอย่างอื่น เราจะอัปเดตกระดานข่าวเมื่อมีข้อมูลเพิ่มเติม
ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ กับ RDS สำหรับ MariaDB, RDS สำหรับ MySQL, Aurora MySQL และ RDS สำหรับอินสแตนซ์ฐานข้อมูล Oracle
สำหรับ RDS PostgreSQL และ Aurora PostgreSQL อินสแตนซ์ DB จะทำงานตามการกำหนดค่าเริ่มต้นในปัจจุบัน โดยลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เราจะเผยแพร่โปรแกรมแก้ไขที่เหมาะสมให้กับผู้ใช้ส่วนขยาย plv8 เมื่อพร้อมใช้งาน ในระหว่างนี้ ลูกค้าที่เปิดใช้งานส่วนขยาย plv8 (ซึ่งปิดใช้งานตามค่าเริ่มต้น) ควรพิจารณาปิดใช้งานและดูคำแนะนำของ V8 ที่ https://github.com/v8/v8/wiki/Untrusted-code-mitigations
สำหรับ RDS สำหรับอินสแตนซ์ฐานข้อมูล SQL Server เราจะปล่อยระบบปฏิบัติการและโปรแกรมแก้ไขกลไกฐานข้อมูลตามที่ Microsoft จัดเตรียมไว้ให้ ซึ่งช่วยให้ลูกค้าสามารถอัปเกรดได้ในเวลาที่ตนเลือก เราจะอัปเดตกระดานข่าวนี้เมื่อทุกอย่างเสร็จสมบูรณ์ ในระหว่างนี้ ลูกค้าที่เปิดใช้งาน CLR (ซึ่งปิดใช้งานตามค่าเริ่มต้น) ควรตรวจสอบคำแนะนำของ Microsoft เกี่ยวกับการปิดใช้งานส่วนขยาย CLR ที่ https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
VMware Cloud on AWS
โปรดดูที่คำแนะนำด้านความปลอดภัย VMware ที่นี่เพื่อดูรายละเอียดเพิ่มเติม: https://www.vmware.com/security/advisories/VMSA-2018-0002.html
WorkSpaces
AWS จะใช้งานการอัปเดตด้านความปลอดภัยที่ Microsoft เผยแพร่ไปยัง AWS WorkSpace ส่วนมากในสัปดาห์ที่จะมาถึงนี้ โปรดทราบว่า WorkSpaces จะมีการรีบูตในช่วงเวลานี้
ลูกค้าที่ใช้คุณสมบัติ Bring Your Own License (BYOL) และลูกค้าที่เปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ของตนควรปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
โปรดปฏิบัติตามคำแนะนำที่ส่วนให้คำปรึกษาด้านความปลอดภัยของ Microsoft ระบุไว้ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 การให้คำปรึกษาด้านความปลอดภัยมีลิงก์ไปยังบทความฐานความรู้สำหรับทั้งระบบปฏิบัติการ Windows Server และไคลเอ็นต์ที่มีข้อมูลเฉพาะเพิ่มเติม
ชุด WorkSpaces ที่ได้รับการอัปเดตจะพร้อมใช้งานกับการอัปเดตด้านความปลอดภัยเร็วๆ นี้ ลูกค้าที่ได้สร้าง Custom Bundle ควรอัปเดตชุดของตนให้มีการอัปเดตด้านความปลอดภัยด้วยตนเอง WorkSpaces ใหม่ใดก็ตามที่เปิดใช้งานจากชุดที่ไม่มีการอัปเดตจะได้รับโปรแกรมแก้ไขทันทีที่เปิดใช้งาน นอกจากลูกค้าจะเปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ในกรณีนี้ ลูกค้าควรปฏิบัติตามขั้นตอนข้างต้นเพื่อปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
WorkSpaces Application Manager (WAM)
เราขอแนะนำให้ลูกค้าเลือกหนึ่งในขั้นตอนการดำเนินการต่อไปนี้:
ตัวเลือกที่ 1: ติดตั้งโปรแกรมแก้ไขของ Microsoft ด้วยตนเองเมื่อเรียกใช้อินสแตนซ์ของ WAM Packager และ Validator โดยการปฏิบัติตามขั้นตอนที่ Microsoft อธิบายไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution หน้านี้มีคำแนะนำเพิ่มเติมและการดาวน์โหลดสำหรับ Windows Server
ตัวเลือกที่ 2: สร้างอินสแตนซ์ WAM Packager และ Validator EC2 ขึ้นใหม่จาก AMI ที่อัปเดตแล้วสำหรับ WAM Packager และ Validator ซึ่งจะเปิดให้ใช้งานภายในวันที่ 04/01/2018