คุณกำลังดูเวอร์ชันก่อนหน้าของกระดานข่าวความปลอดภัย สำหรับเวอร์ชันล่าสุดโปรดดู “ปัญหาการปฏิเสธการให้บริการ TCP SACK ของเคอร์เนลของ Linux”
17 มิถุนายน 2019 10:00 น. PDT
ตัวระบุ CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
AWS ตระหนักถึงปัญหาสามประการที่เปิดเผยเมื่อเร็วๆ นี้ ซึ่งส่งผลกระทบต่อระบบประมวลผลย่อย TCP ของเคอร์เนลของ Linux โดยเฉพาะอย่างยิ่ง ไคลเอ็นต์หรือเซิฟเวอร์ TCP ที่เป็นภัยคุกคามสามารถส่งชุดแพ็กเกตที่สร้างขึ้นโดยเฉพาะซึ่งอาจทำให้เคอร์เนลของ Linux ของระบบที่เชื่อมต่ออยู่และตกเป็นเป้าหมายให้รวนและรีบูต
ระบบและโครงสร้างพื้นฐานภายใต้ AWS ได้รับการปกป้องจากปัญหาเหล่านี้ นอกเหนือจากบริการของ AWS ที่แสดงไว้ด้านบน ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เพื่อแก้ไขข้อกังวลต่อการโจมตีแบบปฏิเสธการให้บริการ (DoS) ที่อาจเกิดขึ้นใดๆ ซึ่งเกี่ยวข้องกับปัญหาเหล่านี้
Amazon Elastic Compute Cloud (EC2)
อินสแตนซ์ EC2 ที่ใช้ Linux ของลูกค้าที่เริ่มต้นหรือได้รับการเชื่อมต่อ TCP โดยตรงไปยังหรือจากฝ่ายที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต จะต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ หมายเหตุ: ลูกค้าที่ใช้ Amazon Elastic Load Balancing (ELB) ควรตรวจสอบ "Elastic Load Balancing (ELB)" ที่ด้านล่างนี้เพื่อดูแนวทางเพิ่มเติม
Amazon Linux และ Amazon Linux 2 AMI
Amazon Linux AMI ที่อัปเดตแล้วจะพร้อมให้ใช้งานในไม่ช้า เราจะอัปเดตกระดานข่าวนี้เมื่อพร้อมให้ใช้งานแล้ว
เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux AMI และ Amazon Linux 2 จะพร้อมใช้งานทันทีในคลังของ Amazon Linux ลูกค้าที่มีอินสแตนซ์ EC2 ปัจจุบันที่เรียกใช้ Amazon Linux ควรเรียกใช้คำสั่งดังต่อไปนี้ภายในแต่ละอินสแตนซ์ EC2 ที่เรียกใช้ Amazon Linux เพื่อให้แน่ใจว่าได้รับแพคเกจที่อัปเดตแล้ว:
sudo yum update kernel
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux เมื่อการอัปเดต Yum เสร็จสิ้น จำเป็นต้องรีบูตเพื่อให้การอัปเดตมีผล
สามารถดูข้อมูลเพิ่มเติมได้ในไม่ช้าที่ ศูนย์ความปลอดภัยของ Amazon Linux
Elastic Load Balancing (ELB)
Network Load Balancer (NLB) ไม่ได้กรองปริมาณข้อมูล อินสแตนซ์ EC2 ที่ใช้ Linux และใช้ NLB ต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ซึ่งเกี่ยวข้องกับปัญหาเหล่านี้ เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux ใช้งานได้แล้ว และคำแนะนำสำหรับการอัปเดตอินสแตนซ์ EC2 ที่กำลังใช้งาน Amazon Linux แสดงอยู่ด้านบน ลูกค้าที่ไม่ได้ใช้ Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ
อินสแตนซ์ EC2 ที่ใช้ Linux และใช้ Elastic Load Balancing (ELB), Classic Load Balancer หรือ Application Load Balancer ไม่จำเป็นต้องให้ลูกค้าดำเนินการใดๆ ELB Classic และ ALB จะกรองปริมาณข้อมูลที่เข้ามาเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้
Amazon WorkSpaces (Linux)
Amazon Linux WorkSpace ใหม่ทั้งหมดจะถูกเปิดใช้ด้วยเคอร์เนลที่อัปเดตแล้ว เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux 2 ได้รับการติดตั้งแล้วสำหรับ Amazon Linux WorkSpace ที่มีอยู่แล้ว
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux จะต้องรีบูตเพื่อให้การอัปเดตมีผล เราขอแนะนำให้ลูกค้ารีบูตด้วยตนเองในทันทีที่เป็นไปได้ มิฉะนั้น Amazon Linux WorkSpace จะรีบูตโดยอัตโนมัติระหว่างเวลา 24:00 น. ถึง 4:00 น. ตามเวลาท้องถิ่นในวันที่ 18 มิถุนายน
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
คลัสเตอร์ Amazon EKS ที่กำลังทำงานอยู่ทั้งหมดได้รับการปกป้องจากปัญหาเหล่านี้ Amazon EKS ได้เผยแพร่ Amazon Machine Image (AMI) ที่ปรับให้เหมาะสมกับ EKS ด้วยเคอร์เนลของ Amazon Linux 2 ที่แก้ไขแล้วในวันที่ 17 มิถุนายน 2019 สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ AMI ที่ปรับให้เหมาะสมกับ EKS ได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html
เราขอแนะนำให้ลูกค้า EKS เปลี่ยนโหนดผู้ปฏิบัติงานทั้งหมดเพื่อใช้ AMI ที่ปรับให้เหมาะสมกับ EKS เวอร์ชันล่าสุด สามารถดูคำแนะนำเกี่ยวกับการอัปเดตโหนดผู้ปฏิบัติงานได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html
AWS Elastic Beanstalk
แพลตฟอร์ม AWS Elastic Beanstalk ที่ใช้ Linux ที่อัปเดตแล้วจะพร้อมให้บริการในวันที่ 17 มิถุนายน 2019 กระดานข่าวนี้จะได้รับการอัปเดตเมื่อแพลตฟอร์มเวอร์ชันใหม่พร้อมใช้งานแล้ว ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในกำหนดเวลาการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการใดๆ หรืออีกวิธีหนึ่ง ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการสามารถนำอัปเดตที่มีอยู่มาใช้ได้โดยอิสระก่อนกำหนดเวลาการดูแลรักษาที่เลือกไว้ โดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ และคลิกที่ปุ่ม "นำไปใช้ทันที"
ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการต้องอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนโดยทำตามคำแนะนำข้างบนนี้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแพลตฟอร์มที่มีการจัดการได้ที่ https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache เปิดใช้คลัสเตอร์ของอินสแตนซ์ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือและไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่เปลี่ยนแปลงการกำหนดค่าเริ่มต้นของ ElastiCache VPC ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย ElastiCache ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยกำหนดค่าเพื่อให้บล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่า ElastiCache VPC ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
ลูกค้าที่มีคลัสเตอร์ ElastiCache ทำงานนอก VPC ของตน และได้เปลี่ยนแปลงการกำหนดค่าตามค่าเริ่มต้น ควรกำหนดค่าการเข้าถึงที่เชื่อถือได้โดยใช้กลุ่มความปลอดภัย ElastiCache สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มความปลอดภัย ElastiCache ดูที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
อีกไม่นาน ทีม ElastiCache จะออกโปรแกรมแก้ไขใหม่ซึ่งจะแก้ไขปัญหาเหล่านี้ เมื่อโปรแกรมแก้ไขดังกล่าวใช้งานได้แล้ว เราจะแจ้งลูกค้าว่าพร้อมแล้วที่จะนำไปใช้ จากนั้น ลูกค้าสามารถเลือกอัปเดตคลัสเตอร์ของตนด้วยคุณสมบัติการอัปเดตแบบบริการตนเองของ ElastiCache ได้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแก้ไขแบบบริการตนเองของ ElastiCache ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html
Amazon EMR
Amazon EMR เปิดใช้คลัสเตอร์ของอินสแตนซ์ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้าในนามของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือ ด้วยเหตุนี้จึงไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่เปลี่ยนแปลงการกำหนดค่า EMR VPC ตามค่าเริ่มต้น ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย EMR ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยบล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ดูที่ https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html สำหรับข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มความปลอดภัย EMR
ลูกค้าที่เลือกไม่กำหนดค่ากลุ่มความปลอดภัย EMR ตามแนวทางปฏิบัติที่ดีที่สุดที่ AWS แนะนำ (หรือต้องการให้โปรแกรมแก้ไขระบบปฏิบัติการสอดคล้องกับนโยบายความปลอดภัยเพิ่มเติมใดๆ) สามารถทำตามคำแนะนำด้านล่างนี้เพื่ออัปเดตคลัสเตอร์ EMR ใหม่หรือที่มีอยู่แล้วเพื่อแก้ไขปัญหาเหล่านี้ หมายเหตุ: อัปเดตเหล่านี้กำหนดให้ต้องรีบูตอินสแตนซ์คลัสเตอร์ และอาจกระทบแอปพลิเคชันที่กำลังทำงานอยู่ได้ ลูกค้าไม่ควรรีสตาร์ทคลัสเตอร์ของตนจนกว่าจะเห็นว่าจำเป็นต้องรีสตาร์ท
สำหรับคลัสเตอร์ใหม่ ใช้คำสั่งเริ่มต้นระบบ EMR เพื่ออัปเดตเคอร์เนล Linux และรีบูตแต่ละอินสแตนซ์ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับคำสั่งเริ่มต้นระบบ EMR ได้ที่ https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
สำหรับคลัสเตอร์ที่มีอยู่แล้ว อัปเดตเคอร์เนลของ Linux บนแต่ละอินสแตนซ์ภายในคลัสเตอร์ และทยอยรีบูตอินสแตนซ์เหล่านั้นตามลำดับ