คุณกำลังอ่านกระดานข่าวความปลอดภัยเวอร์ชั่นเก่า สำหรับเวอร์ชันล่าสุด โปรดไปที่ "การเปิดเผยการวิจัยการดำเนินการแบบคาดการณ์ของตัวประมวลผล"
เกี่ยวกับ: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
อัปเดตเมื่อ: 11/01/2018 11:30 น. เวลา PST
นี่คือการอัปเดตสำหรับปัญหานี้
เคอร์เนลที่สองสำหรับ Amazon Linux ออกให้ใช้งานได้แล้ว ซึ่งแก้ไขจุดบกพร่อง KPTI และปรับปรุงการแก้ปัญหาสำหรับ CVE-2017-5754 ลูกค้าต้องอัปเกรดเป็นเคอร์เนลหรือ AMI รุ่นล่าสุดของ Amazon Linux เพื่อแก้ไขข้อกังวลแบบกระบวนการต่อกระบวนการของ CVE-2017-5754 ภายในอินสแตนซ์ของตนอย่างมีประสิทธิผล ดูข้อมูลเพิ่มเติมใน “Amazon Linux AMI” ที่ด้านล่าง
โปรดดูข้อมูล “คำแนะนำอินสแตนซ์ PV” เกี่ยวกับอินสแตนซ์เสมือนแบบเพิ่มประสิทธิภาพ (PV) ที่ด้านล่าง
Amazon EC2
อินสแตนซ์ทั้งหมดในกลุ่ม Amazon EC2 ได้รับการป้องกันจากข้อกังวลแบบอินสแตนซ์ต่ออินสแตนซ์ที่รู้จักทั้งหมดของ CVE ที่แสดงก่อนหน้านี้ ข้อกังวลแบบอินสแตนซ์ต่ออินสแตนซ์จะสันนิษฐานว่าอินสแตนซ์ข้างเคียงที่ไม่น่าเชื่อถืออาจสามารถอ่านหน่วยความจำของอินสแตนซ์อื่นหรือไฮเปอร์ไวเซอร์ AWS ได้ ปัญหานี้ได้รับการแก้ไขสำหรับไฮเปอร์ไวเซอร์ AWS แล้ว และจะไม่มีอินสแตนซ์ใดสามารถอ่านหน่วยความจำของอินสแตนซ์อื่น หรือสามารถอ่านหน่วยความจำของไฮเปอร์ไวเซอร์ AWS ได้ เราไม่พบผลกระทบด้านประสิทธิภาพที่ที่สำคัญจากปริมาณงาน EC2 เกือบทั้งหมด
การดำเนินการของลูกค้าที่แนะนำสำหรับ AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce และ Amazon Lightsail
แม้ว่าอินสแตนซ์ของลูกค้าทั้งหมดจะได้รับการป้องกันตามที่อธิบายไว้ข้างต้น เราขอแนะนำให้ลูกค้าแพตช์ระบบปฏิบัติการของอินสแตนซ์ของตน เพื่อแยกซอฟต์แวร์ที่ทำงานภายในอินสแตนซ์เดียวกันและแก้ไขข้อกังวลแบบกระบวนการต่อกระบวนการของ CVE-2017-5754 หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคำแนะนำเฉพาะของผู้จำหน่ายเกี่ยวกับความพร้อมในการแพตช์และติดตั้งใช้จริง
คำแนะนำเฉพาะผู้จำหน่าย:
- Amazon Linux – ดูข้อมูลเพิ่มเติมได้ที่ด้านล่าง
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
สำหรับระบบปฏิบัติการที่ไม่ได้อยู่ในรายการนี้ ลูกค้าควรขอคำปรึกษากับผู้จัดจำหน่ายระบบปฏิบัติการหรือ AMI เพื่อขอข้อมูลอัปเดตและคำแนะนำ
คำแนะนำอินสแตนซ์ PV
หลังจากวิจัยและวิเคราะห์โปรแกรมแก้ไขระบบปฏิบัติการที่พร้อมใช้งานสำหรับปัญหานี้โดยละเอียด เราพบว่าการป้องกันระบบปฏิบัติการยังไม่เพียงพอต่อการจัดการข้อกังวลแบบกระบวนการต่อกระบวนการภายในอินสแตนซ์เสมือนแบบเพิ่มประสิทธิภาพ (PV) แม้ว่าอินสแตนซ์ PV จะได้รับการป้องกันโดยไฮเปอร์ไวเซอร์ AWS จากข้อกังวลแบบอินสแตนซ์ต่ออินสแตนซ์ตามที่อธิบายไว้ข้างต้น เราขอแนะนำให้ลูกค้าที่กังวลเกี่ยวกับการแยกกระบวนการภายในอินสแตนซ์ PV (เช่น ประมวลข้อมูลที่ไม่น่าเชื่อถือ เรียกใช้โค้ดที่ไม่น่าเชื่อถือ โฮสต์ผู้ใช้ที่ไม่น่าเชื่อถือ) โยกย้ายไปยังประเภทอินสแตนซ์ HVM เพื่อให้ได้รับประโยชน์ด้านความปลอดภัยในระยะยาว
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความแตกต่างระหว่าง PV กับ HVM (และเอกสารเส้นทางการอัปเกรดอินสแตนซ์) ที่:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
โปรดติดต่อ Support หากคุณต้องการความช่วยเหลือเกี่ยวกับเส้นทางการอัปเกรดอินสแตนซ์ PV ต่างๆ
การอัปเดตสำหรับบริการอื่นๆ ของ AWS
บริการต่อไปนี้จำเป็นต้องได้รับโปรแกรมแก้ไขของ EC2 instance ที่จัดการในนามของลูกค้า ทำงานทั้งหมดให้เสร็จสมบูรณ์ และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ:
- Fargate
- Lambda
บริการอื่นๆ ของ AWS ทั้งหมดไม่จำเป็นต้องได้รับการดำเนินการจากลูกค้า นอกจากจะมีการระบุไว้เป็นอย่างอื่นที่ด้านล่าง
Amazon Linux AMI (ID กระดานข่าว: ALAS-2018-939)
เคอร์เนลที่ได้รับการอัปเดตสำหรับ Amazon Linux จะพร้อมใช้งานภายในที่เก็บ Amazon Linux EC2 instance ที่เปิดใช้ด้วยการกำหนดค่า Amazon Linux ตามค่าเริ่มต้นในวันที่ 8 มกราคม 2018 หรือหลังจากนั้นจะรวมแพคเกจที่อัปเดตแล้วโดยอัตโนมัติ ซึ่งจะแก้ไขจุดบกพร่อง KPTI และปรับปรุงการแก้ปัญหาสำหรับ CVE-2017-5754
หมายเหตุ: ลูกค้าต้องอัปเกรดเป็นเคอร์เนลหรือ AMI รุ่นล่าสุดของ Amazon Linux เพื่อแก้ไข CVE-2017-5754 ภายในอินสแตนซ์ของตนอย่างมีประสิทธิผล เราจะยังคงให้การปรับปรุง Amazon Linux และ Amazon Linux AMI ที่อัปเดตแล้วอย่างต่อเนื่อง โดยนำความช่วยเหลือในการแก้ไขปัญหาดังกล่าวแบบโอเพนซอร์สจากชุมชน Linux มาใช้ปรับปรุงร่วมกันหากมี
ลูกค้าที่มีอินสแตนซ์ Amazon Linux AMI ปัจจุบันควรเรียกใช้คำสั่งดังต่อไปนี้เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:
sudo yum update kernel
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตสำหรับเคอร์เนลของ Linux อื่นๆ เมื่อการอัปเดต Yum เสร็จสิ้น คุณจำเป็นต้องรีบูตเพื่อให้การอัปเดตมีผล
ข้อมูลเพิ่มเติมเกี่ยวกับกระดานข่าวนี้สามารถดูได้ที่ ศูนย์ความปลอดภัย Amazon Linux AMI
สำหรับ Amazon Linux 2 โปรดทำตามคำแนะนำสำหรับ Amazon Linux ที่อธิบายไว้ข้างต้น
EC2 Windows
เราได้อัปเดต AWS Windows AMI แล้ว การอัปเดตนี้พร้อมให้ลูกค้าใช้งานแล้ว นอกจากนี้ AWS Windows AMI ยังได้ติดตั้งแพตช์ที่จำเป็นและเปิดใช้งานรีจิสทรีคีย์ไว้แล้ว
Microsoft มีแพตช์ Windows สำหรับ Server 2008R2, 2012R2 และ 2016 แล้ว แพตช์ต่างๆ จะพร้อมให้ใช้งานผ่านบริการอัปเดต Windows ที่มีอยู่แล้วสำหรับ Server 2016 เรากำลังรอข้อมูลจาก Microsoft เกี่ยวกับความพร้อมในการใช้งานของโปรแกรมแก้ไขสำหรับ Server 2003, 2008SP2 และ 2012RTM
ลูกค้า AWS ที่ใช้งานอินสแตนซ์ Windows บน EC2 ที่เปิดใช้งาน “การอัปเดตอัตโนมัติ” ควรเรียกใช้การอัปเดตอัตโนมัติเพื่อดาวน์โหลดและติดตั้งการอัปเดตที่จำเป็นสำหรับ Windows ทุกครั้งที่มีการอัปเดต
โปรดทราบว่าโปรแกรมแก้ไข Server 2008R2 และ 2012R2 ยังไม่พร้อมให้ใช้งานผ่านทาง Windows Update ที่ต้องดาวน์โหลดด้วยตนเองในขณะนี้ Microsoft ได้แจ้งไว้ก่อนหน้านี้ว่าโปรแกรมแก้ไขเหล่านี้จะใช้งานได้ในวันอังคารที่ 9 มกราคม แต่เรายังคงรอข้อมูลเกี่ยวกับความพร้อมใช้งานอยู่
ลูกค้า AWS ที่เรียกใช้อินสแตนซ์ Windows บน EC2 ที่ไม่ได้เปิดใช้งาน “การอัปเดตอัตโนมัติ” ควรติดตั้งการอัปเดตที่จำเป็นด้วยตนเองเมื่อการอัปเดตนั้นพร้อมใช้งาน โดยทำตามคำแนะนำที่นี่: http://windows.microsoft.com/en-us/windows7/install-windows-updates
โปรดทราบว่าใน Windows Server คุณจะต้องดำเนินการเพิ่มเติมตามขั้นตอนของ Microsoft เพื่อเปิดใช้งานคุณสมบัติการป้องกันการอัปเดตสำหรับปัญหานี้ ตามข้อมูลที่นี่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
ECS Optimized AMI
เราได้เผยแพร่ Amazon ECS Optimized AMI เวอร์ชัน 2017.09.f ซึ่งมีการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้ รวมถึงการอัปเดตเคอร์เนลของ Amazon Linux ที่สองดังที่กล่าวไว้ข้างต้น เราแนะนำให้ลูกค้า Amazon ECS ทั้งหมดอัปเกรดเป็นเวอร์ชันล่าสุดนี้ ซึ่งสามารถดาวน์โหลดได้จาก AWS Marketplace เราจะรวมการปรับปรุงของ Amazon Linux ใหม่ๆ อย่างต่อเนื่องเมื่อพร้อมให้ใช้งาน
ลูกค้าที่เลือกอัปเดตอินสแตนซ์ ECS Optimized AMI เดิมควรเรียกใช้คำสั่งดังต่อไปนี้เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:
sudo yum update kernel
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตสำหรับเคอร์เนลของ Linux อื่นๆ เมื่อการอัปเดต Yum เสร็จสิ้น คุณจำเป็นต้องรีบูตเพื่อให้การอัปเดตมีผล
เราขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ติดต่อผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่นเพื่อขอการอัปเดตและคำแนะนำที่ต้องการ คำแนะนำเกี่ยวกับ Amazon Linux สามารถดูได้ใน ศูนย์ความปลอดภัยของ Amazon Linux AMI
เรากำลังอัปเดต Windows AMI ที่ปรับให้เหมาะสมกับ Amazon ECS และเราจะอัปเดตกระดานข่าวนี้เมื่อการอัปเดตพร้อมใช้งาน Microsoft มีโปรแกรมแก้ไข Windows สำหรับ Server 2016 แล้ว สำหรับรายละเอียดเกี่ยวกับวิธีนำโปรแกรมแก้ไขไปใช้กับอินสแตนซ์ที่กำลังทำงานอยู่ โปรดดู https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
Elastic Beanstalk
เราได้อัปเดตแพลตฟอร์มทั้งหมดบน Linux เพื่อรวมการป้องกัน Amazon Linux ทั้งหมดสำหรับปัญหานี้แล้ว ดู บันทึกย่อประจำรุ่น สำหรับข้อมูลเวอร์ชั่นของแพลตฟอร์ม เราขอแนะนำให้ลูกค้าของ Elastic Beanstalk อัปเดตสภาพแวดล้อมของตนเป็นแพลตฟอร์มเวอร์ชันล่าสุดที่มี สภาพแวดล้อมที่ใช้การอัปเดตที่มีการจัดการจะได้รับการอัปเดตโดยอัตโนมัติในระหว่างช่วงการบำรุงรักษาที่กำหนดค่าไว้
ทีม Elastic Beanstalk ยังคงทำงานกับการอัปเดตแพลตฟอร์มบน Windows อย่างต่อเนื่อง ซึ่งการอัปเดตนี้จะพร้อมให้ใช้งานภายในอีก 12 ชั่วโมง ลูกค้า Elastic Beanstalk ที่ใช้แพลตฟอร์มบน Windows จะได้รับคำแนะนำให้ติดตั้งการอัปเดตด้านความปลอดภัยที่มีให้ด้วยตนเอง โดยสามารถดูคำแนะนำได้ในส่วน “EC2 Windows” ด้านบนของกระดานข่าวนี้
EMR
Amazon EMR เปิดใช้งานคลัสเตอร์ของ Amazon EC2 instance ที่เรียกใช้ Amazon Linux ในนามของลูกค้าในบัญชีของลูกค้า ลูกค้าที่กังวลเกี่ยวกับการแยกกระบวนการภายในอินสแตนซ์ของคลัสเตอร์ Amazon EMR ควรอัปเกรดเป็นเคอร์เนลรุ่นล่าสุดของ Amazon Linux ตามที่แนะนำข้างต้น เราอยู่ในระหว่างการรวมเคอร์เนลรุ่นล่าสุดของ Amazon Linux เข้ากับรุ่นย่อยใหม่ในรุ่น 5.11.x และรุ่น 4.9.x ลูกค้าจะสามารถสร้างคลัสเตอร์ Amazon EMR ใหม่ได้ด้วยรุ่นต่างๆ เหล่านี้ เราจะอัปเดตกระดานข่าวนี้เมื่อรุ่นเหล่านี้พร้อมใช้งาน
สำหรับ Amazon EMR รุ่นปัจจุบันและอินสแตนซ์ที่เกี่ยวข้องที่ทำงานอยู่หากลูกค้ามี เราขอแนะนำให้อัปเดตเป็นเคอร์เนลรุ่นล่าสุดของ Amazon Linux ตามที่แนะนำข้างต้น สำหรับคลัสเตอร์ใหม่ ลูกค้าสามารถใช้การเริ่มต้นระบบเพื่ออัปเดตเคอร์เนล Linux และรีบูตแต่ละอินสแตนซ์ได้ สำหรับคลัสเตอร์ที่ทำงานอยู่ ลูกค้าสามารถเริ่มอัปเดตเคอร์เนล Linux และรีสตาร์ตแต่ละอินสแตนซ์ในคลัสเตอร์ด้วยวิธีหมุนเวียนได้ โปรดทราบว่าการรีสตาร์ตบางกระบวนการอาจส่งผลกระทบต่อแอปพลิเคชันที่ทำงานอยู่ภายในคลัสเตอร์
RDS
อินสแตนซ์ฐานข้อมูลของลูกค้า RDS ที่มีการจัดการแต่ละโหนดมีหน้าที่เรียกใช้กลไกฐานข้อมูลของลูกค้าหนึ่งรายโดยเฉพาะ โดยจะไม่มีกระบวนการอื่นๆ ที่ลูกค้าสามารถเข้าถึงได้และลูกค้าจะไม่สามารถเรียกใช้โค้ดกับอินสแตนซ์ได้ เมื่อ AWS ป้องกันโครงสร้างพื้นฐานที่เกี่ยวข้องกับ RDS เสร็จสมบูรณ์ ข้อกังวลแบบกระบวนการต่อเคอร์เนลหรือกระบวนการต่อกระบวนการของปัญหานี้จะไม่ก่อให้เกิดความเสี่ยงต่อลูกค้า ทีมสนับสนุนกลไกฐานข้อมูล RDS ส่วนใหญ่ได้รายงานว่ายังไม่มีข้อกังวลเกี่ยวกับกระบวนการภายในที่ทราบในขณะนี้ ดูรายละเอียดเฉพาะเกี่ยวกับกลไกฐานข้อมูลได้ที่ด้านล่าง และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ นอกจากจะมีการระบุไว้เป็นอย่างอื่น เราจะอัปเดตกระดานข่าวเมื่อมีข้อมูลเพิ่มเติม
สำหรับ RDS สำหรับอินสแตนซ์ฐานข้อมูล SQL Server เราจะปล่อยระบบปฏิบัติการและโปรแกรมแก้ไขกลไกฐานข้อมูลตามที่ Microsoft จัดเตรียมไว้ให้ ซึ่งช่วยให้ลูกค้าสามารถอัปเกรดได้ในเวลาที่ตนเลือก เราจะอัปเดตกระดานข่าวนี้เมื่อทุกอย่างเสร็จสมบูรณ์ ในระหว่างนี้ ลูกค้าที่เปิดใช้งาน CLR (ซึ่งปิดใช้งานตามค่าเริ่มต้น) ควรตรวจสอบคำแนะนำของ Microsoft เกี่ยวกับการปิดใช้งานส่วนขยาย CLR ที่ https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
สำหรับ RDS PostgreSQL และ Aurora PostgreSQL อินสแตนซ์ DB จะทำงานตามการกำหนดค่าเริ่มต้นในปัจจุบัน โดยลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เราจะเผยแพร่โปรแกรมแก้ไขที่เหมาะสมให้กับผู้ใช้ส่วนขยาย plv8 เมื่อพร้อมใช้งาน ในระหว่างนี้ ลูกค้าที่เปิดใช้งานส่วนขยาย plv8 (ซึ่งปิดใช้งานตามค่าเริ่มต้น) ควรพิจารณาปิดใช้งานและดูคำแนะนำของ V8 ที่ https://github.com/v8/v8/wiki/Untrusted-code-mitigations
ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ กับ RDS สำหรับ MariaDB, RDS สำหรับ MySQL, Aurora MySQL และ RDS สำหรับอินสแตนซ์ฐานข้อมูล Oracle
VMware Cloud on AWS
VMware ประกาศว่า “วิธีแก้ไขที่ระบุใน VMSA-2018-0002 จะแสดงใน VMware Cloud on AWS ตั้งแต่ต้นเดือนธันวาคม 2017”
โปรดดูรายละเอียดเพิ่มเติมที่ บล็อกความปลอดภัย & การปฏิบัติตามข้อกำหนดของ VMware และสถานะอัปเดตที่ https://status.vmware-services.io
WorkSpaces
AWS จะใช้งานการอัปเดตด้านความปลอดภัยที่ Microsoft เผยแพร่ไปยัง AWS WorkSpace ส่วนมากในสัปดาห์ที่จะมาถึงนี้ โปรดทราบว่า WorkSpace จะมีการรีบูตในช่วงเวลานี้
ลูกค้าที่ใช้คุณสมบัติ Bring Your Own License (BYOL) และลูกค้าที่เปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ของตนควรปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
โปรดปฏิบัติตามคำแนะนำที่ส่วนให้คำปรึกษาด้านความปลอดภัยของ Microsoft ระบุไว้ที่ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 การให้คำปรึกษาด้านความปลอดภัยมีลิงก์ไปยังบทความฐานความรู้สำหรับทั้งระบบปฏิบัติการ Windows Server และไคลเอ็นต์ที่มีข้อมูลเฉพาะเพิ่มเติม
ชุด WorkSpaces ที่ได้รับการอัปเดตจะพร้อมใช้งานกับการอัปเดตด้านความปลอดภัยเร็วๆ นี้ ลูกค้าที่ได้สร้าง Custom Bundles ควรอัปเดตชุดของตนให้มีการอัปเดตด้านความปลอดภัยด้วยตนเอง WorkSpaces ใหม่ใดก็ตามที่เปิดใช้งานจากชุดที่ไม่มีการอัปเดตจะได้รับโปรแกรมแก้ไขทันทีที่เปิดใช้งาน นอกจากลูกค้าจะเปลี่ยนแปลงการตั้งค่าการอัปเดตเริ่มต้นใน WorkSpaces ในกรณีนี้ ลูกค้าควรปฏิบัติตามขั้นตอนข้างต้นเพื่อปรับใช้การอัปเดตด้านความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ด้วยตนเอง
WorkSpaces Application Manager (WAM)
เราขอแนะนำให้ลูกค้าเลือกหนึ่งในขั้นตอนการดำเนินการต่อไปนี้:
ตัวเลือกที่ 1: ติดตั้งโปรแกรมแก้ไขของ Microsoft ด้วยตนเองเมื่อเรียกใช้อินสแตนซ์ของ WAM Packager และ Validator โดยการปฏิบัติตามขั้นตอนที่ Microsoft อธิบายไว้ที่ https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution หน้านี้มีคำแนะนำเพิ่มเติมและการดาวน์โหลดสำหรับ Windows Server
ตัวเลือกที่ 2: สร้างอินสแตนซ์ WAM Packager และ Validator EC2 ขึ้นใหม่จาก AMI ที่อัปเดตแล้วสำหรับ WAM Packager และ Validator ซึ่งจะเปิดให้ใช้งานภายในวันที่ 04/01/2018