อัปเดตล่าสุด: 18 มิถุนายน 2019 11:45 น. เวลา PDT
ตัวระบุ CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
นี่คือการอัปเดตสำหรับปัญหานี้
Amazon Elastic Container Service (ECS)
Amazon ECS ได้เผยแพร่ Amazon Machine Image (AMI) ที่ปรับให้เหมาะสมกับ ECS ที่อัปเดตแล้วด้วยเคอร์เนลของ Amazon Linux และ Amazon Linux 2 ที่แก้ไขแล้วในวันที่ 17 และ 18 มิถุนายน 2019 สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ AMI ที่ปรับให้เหมาะสมกับ ECS รวมทั้งวิธีขอรับเวอร์ชันล่าสุดได้ที่ https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html
เราขอแนะนำให้ลูกค้า ECS อัปเดตอินสแตนซ์คอนเทนเนอร์ EC2 ของตนเพื่อใช้ AMI ที่ปรับให้เหมาะสมกับ ECS เวอร์ชันล่าสุด
Amazon GameLift
AMI ที่อัปเดตสำหรับอินสแตนซ์ Amazon GameLift ที่ใช้ Linux ใช้งานได้แล้วในทุกเขตของ Amazon GameLift เราขอแนะนำให้ลูกค้าที่ใช้อินสแตนซ์ Amazon GameLift ที่ใช้ Linux สร้างกลุ่มใหม่เพื่อเลือก AMI ที่อัปเดตแล้ว สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มได้ที่ https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html
AWS Elastic Beanstalk
แพลตฟอร์มที่ใช้ AWS Elastic Beanstalk Linux เวอร์ชันอัปเดตใช้งานได้ ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในกำหนดเวลาการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการอื่นใด หรืออีกวิธีหนึ่ง ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการสามารถนำอัปเดตที่มีอยู่มาใช้ได้โดยอิสระก่อนกำหนดเวลาการดูแลรักษาที่เลือกไว้ โดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ และคลิกที่ปุ่ม "นำไปใช้ทันที"
ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการต้องอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนได้โดยทำตามคำแนะนำข้างบนนี้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแพลตฟอร์มที่มีการจัดการได้ที่ https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux และ Amazon Linux 2
เคอร์เนลของ Linux ที่อัปเดตแล้วสำหรับ Amazon Linux ใช้งานได้ในที่เก็บของ Amazon Linux และ Amazon Linux AMI ที่อัปเดตพร้อมใช้งานแล้ว ลูกค้าที่มี EC2 instance ที่มีอยู่ที่เรียกใช้ Amazon Linux ควรเรียกใช้คำสั่งดังต่อไปนี้ภายในแต่ละ EC2 instance ที่เรียกใช้ Amazon Linux เพื่อให้แน่ใจว่าได้รับแพ็คเกจที่อัปเดตแล้ว:
sudo yum update kernel
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux หลังจากที่ yum update ทำงานเสร็จแล้ว จะต้องรีบูตเพื่อให้การอัปเดตมีผล
ลูกค้าที่ไม่ได้ใช้ Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติงานของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ สามารถดูข้อมูลเพิ่มเติมได้ที่ศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Compute Cloud (EC2)
อินสแตนซ์ที่ใช้ EC2 Linux ของลูกค้าที่เริ่มต้นหรือได้รับการเชื่อมต่อ TCP โดยตรงไปยังหรือจากฝ่ายที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต จะต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ หมายเหตุ: ลูกค้าที่ใช้ Amazon Elastic Load Balancing (ELB) ควรครวจสอบ "Elastic Load Balancing (ELB)" ที่ด้านล่างนี้เพื่อดูแนวทางเพิ่มเติม
Elastic Load Balancing (ELB)
TCP Network Load Balancer (NLB) ไม่ได้กรองปริมาณข้อมูล เว้นแต่จะได้รับการกำหนดค่าเพื่อสิ้นสุดเซสชัน TLS NLB ที่ได้รับการกำหนดค่าให้สิ้นสุดเซสชัน TLS ไม่จำเป็นต้องให้ลูกค้าดำเนินการเพิ่มเติมใดๆ เพื่อแก้ไขปัญหานี้
อินสแตนซ์ EC2 ที่ใช้ Linux ที่ใช้ TCP NLB ที่ไม่ได้สิ้นสุดเซสชัน TLS ต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวล DoS ที่อาจเกิดขึ้นใดๆ ที่เกี่ยวข้องกับปัญหาเหล่านี้ เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux ใช้งานได้แล้ว และคำแนะนำสำหรับการอัปเดตอินสแตนซ์ EC2 ที่กำลังใช้งาน Amazon Linux แสดงอยู่ข้างบนนี้ ลูกค้าที่ไม่ได้ใช้ Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติงานของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวล DoS ที่อาจเกิดขึ้นใดๆ
อินสแตนซ์ EC2 ที่ใช้ Linux ที่ใช้ Elastic Load Balancing (ELB), Classic Load Balancer, Application Load Balancer, หรือ Network Load Balancer ที่มีการสิ้นสุด TLS (TLS NLB) ไม่จำเป็นต้องให้ลูกค้าดำเนินการใดๆ ELB Classic และ ALB จะกรองปริมาณข้อมูลที่เข้ามาเพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้
Amazon WorkSpaces (Linux)
Amazon Linux WorkSpace ใหม่ทั้งหมดจะถูกเปิดใช้ด้วยเคอร์เนลที่อัปเดตแล้ว เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux 2 ได้รับการติดตั้งแล้วสำหรับ Amazon Linux WorkSpace ที่มีอยู่แล้ว
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux จะต้องรีบูตเพื่อให้การอัปเดตมีผล เราขอแนะนำให้ลูกค้ารีบูตด้วยตนเองในทันทีที่เป็นไปได้ มิฉะนั้น Amazon Linux WorkSpace จะรีบูตโดยอัตโนมัติระหว่างเวลา 00:00 น. ถึง 4:00 น. ตามเวลาท้องถิ่นในวันที่ 18 มิถุนายน
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
คลัสเตอร์ Amazon EKS ที่กำลังทำงานอยู่ทั้งหมดจะได้รับการปกป้องจากปัญหาเหล่านี้ Amazon ECS ได้เผยแพร่ Amazon Machine Image (AMI) ที่ปรับให้เหมาะสมกับ EKS ที่อัปเดตแล้วด้วยเคอร์เนลของ Amazon Linux 2 ที่แก้ไขแล้วในวันที่ 17 มิถุนายน 2019 สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ AMI ที่ปรับให้เหมาะสมกับ EKS ได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html
เราขอแนะนำให้ลูกค้า EKS เปลี่ยนโหมดผู้ปฏิบัติงานทั้งหมดเพื่อใช้ AMI ที่ปรับให้เหมาะสมกับ EKS เวอร์ชันล่าสุด สามารถดูคำแนะนำเกี่ยวกับการอัปเดตโหนดผู้ปฏิบัติงานได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html
Amazon ElastiCache
Amazon ElastiCache เปิดใช้คลัสเตอร์อินสแตนซ์ของ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้า ซึ่งไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือตามค่าเริ่มต้น และไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่ทำการเปลี่ยนแปลงต่อการกำหนดค่า ElastiCache VPC ตามค่าเริ่มต้น ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย ElastiCache ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยกำหนดค่าเพื่อให้บล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่า ElastiCache VPC ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html
ลูกค้าที่มีคลัสเตอร์ ElastiCache ทำงานนอก VPC ของตน และได้ทำการเปลี่ยนแปลงต่อการกำหนดค่าเริ่มต้น ควรกำหนดค่าการเข้าถึงที่เชื่อถือได้โดยใช้กลุ่มความปลอดภัย ElastiCache สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มความปลอดภัย ElastiCache โปรดดู https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ทีม ElastiCache จะออกโปรแกรมแก้ไขใหม่ในเวลาไม่นาน ซึ่งจะแก้ไขปัญหาเหล่านี้ เมื่อโปรแกรมแก้ไขดังกล่าวใช้งานได้แล้ว เราจะแจ้งลูกค้าว่าพร้อมแล้วที่จะนำไปใช้ จากนั้น ลูกค้าจะสามารถเลือกที่จะอัปเดตคลัสเตอร์ของตนด้วยคุณสมบัติการอัปเดตแบบบริการตนเองของ ElastiCache สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแก้ไขแบบบริการตนเองของElastiCache ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html
Amazon EMR
Amazon EMR เปิดใช้คลัสเตอร์อินสแตนซ์ของ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้าในนามของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือ ด้วยเหตุนี้จึงไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่ทำการเปลี่ยนแปลงต่อการกำหนดค่า EMR VPC ตามค่าเริ่มต้น ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย EMR ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยจะบล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ดู https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html สำหรับข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มความปลอดภัย EMR
ลูกค้าที่เลือกที่จะไม่กำหนดค่ากลุ่มความปลอดภัย EMR ตามแนวทางปฏิบัติที่ดีที่สุดที่ AWS แนะนำ (หรือต้องการให้โปรแกรมแก้ไขระบบปฏิบัติการสอดคล้องกับนโยบายความปลอดภัยเพิ่มเติมใดๆ) สามารถทำตามคำแนะนำด้านล่างนี้เพื่ออัปเดตคลัสเตอร์ EMR ใหม่หรือที่มีอยู่แล้วเพื่อแก้ไขปัญหาเหล่านี้ หมายเหตุ: อัปเดตเหล่านี้กำหนดให้ต้องรีบูตอินสแตนซ์ของคลัสเตอร์ และอาจกระทบแอปพลิเคชันที่กำลังทำงานอยู่ได้ ลูกค้าไม่ควรรีสตาร์ทคลัสเตอร์ของตนจนกว่าจะเห็นว่าจำเป็นต้องรีสตาร์ท
สำหรับคลัสเตอร์ใหม่ ใช้การเริ่มต้นระบบ EMR เพื่ออัปเดตเคอร์เนล Linux และรีบูตแต่ละอินสแตนซ์ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการเริ่มต้นระบบ EMR ได้ที่ https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
สำหรับคลัสเตอร์ที่มีอยู่แล้ว อัปเดตเคอร์เนล Linux บนแต่ละอินสแตนซ์ภายในคลัสเตอร์ และทยอยรีบูตอินสแตนซ์เหล่านั้นตามลำดับ