อัปเดตล่าสุด: 17 มิถุนายน 2019 14:15 น. ตามเวลา PDT
ตัวระบุ CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
นี่คือการอัปเดตสำหรับปัญหานี้
เคอร์เนลของ Linux ที่อัปเดตแล้วสำหรับ Amazon Linux มีให้ใช้งานในคลังของ Amazon Linux และ Amazon Linux AMI ที่อัปเดตแล้วพร้อมใช้งานแล้ว ลูกค้าที่มีอินสแตนซ์ EC2 ปัจจุบันซึ่งเรียกใช้ Amazon Linux ควรเรียกใช้คำสั่งดังต่อไปนี้ภายในแต่ละอินสแตนซ์ EC2 ที่เรียกใช้ Amazon Linux เพื่อให้แน่ใจว่าได้รับแพ็คเกจที่อัปเดตแล้ว:
sudo yum update kernel
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตต่างๆ ของเคอร์เนลของ Linux เมื่อการอัปเดต Yum เสร็จสิ้น จำเป็นต้องรีบูตเพื่อให้การอัปเดตมีผล
ลูกค้าที่ไม่ได้ใช้ Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ สามารถดูข้อมูลเพิ่มเติมได้ที่ ศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Compute Cloud (EC2)
อินสแตนซ์ EC2 ที่ใช้ Linux ของลูกค้าที่เริ่มต้นหรือได้รับการเชื่อมต่อ TCP โดยตรงไปยังหรือจากฝ่ายที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต จะต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ หมายเหตุ: ลูกค้าที่ใช้ Amazon Elastic Load Balancing (ELB) ควรตรวจสอบ "Elastic Load Balancing (ELB)" ที่ด้านล่างนี้เพื่อดูแนวทางเพิ่มเติม
Elastic Load Balancing (ELB)
TCP Network Load Balancer (NLB) ไม่ได้กรองปริมาณข้อมูล เว้นแต่จะได้รับการกำหนดค่าเพื่อสิ้นสุดเซสชัน TLS NLB ที่กำหนดค่าให้สิ้นสุดเซสชัน TLS ไม่จำเป็นต้องให้ลูกค้าดำเนินการเพิ่มเติมใดๆ เพื่อแก้ไขปัญหานี้
อินสแตนซ์ EC2 ที่ใช้ Linux และใช้ TCP NLB ที่ไม่ได้สิ้นสุดเซสชัน TLS ต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ซึ่งเกี่ยวข้องกับปัญหาเหล่านี้ เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux ใช้งานได้แล้ว และคำแนะนำสำหรับการอัปเดตอินสแตนซ์ EC2 ที่กำลังใช้งาน Amazon Linux แสดงอยู่ข้างบนนี้ ลูกค้าที่ไม่ได้ใช้ Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ
อินสแตนซ์ EC2 ที่ใช้ Linux และใช้ Elastic Load Balancing (ELB), Classic Load Balancer, Application Load Balancer, หรือ Network Load Balancer ที่มีการสิ้นสุด TLS (TLS NLB) ไม่จำเป็นต้องให้ลูกค้าดำเนินการใดๆ ELB Classic และ ALB จะกรองปริมาณข้อมูลที่เข้ามาเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้
Amazon WorkSpaces (Linux)
Amazon Linux WorkSpace ใหม่ทั้งหมดจะถูกเปิดใช้ด้วยเคอร์เนลที่อัปเดตแล้ว เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux 2 ได้รับการติดตั้งแล้วสำหรับ Amazon Linux WorkSpace ที่มีอยู่แล้ว
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux จะต้องรีบูตเพื่อให้การอัปเดตมีผล เราขอแนะนำให้ลูกค้ารีบูตด้วยตนเองในทันทีที่เป็นไปได้ มิฉะนั้น Amazon Linux WorkSpace จะรีบูตโดยอัตโนมัติระหว่างเวลา 24:00 น. ถึง 4:00 น. ตามเวลาท้องถิ่นในวันที่ 18 มิถุนายน
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
คลัสเตอร์ Amazon EKS ที่กำลังทำงานอยู่ทั้งหมดจะได้รับการปกป้องจากปัญหาเหล่านี้ Amazon EKS ได้เผยแพร่ Amazon Machine Image (AMI) ที่ปรับให้เหมาะสมกับ EKS ที่อัปเดตแล้วด้วยเคอร์เนลของ Amazon Linux 2 ที่แก้ไขแล้วในวันที่ 17 มิถุนายน 2019 สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ AMI ที่ปรับให้เหมาะสมกับ EKS ได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html
เราขอแนะนำให้ลูกค้า EKS เปลี่ยนโหนดผู้ปฏิบัติงานทั้งหมดเพื่อใช้ AMI ที่ปรับให้เหมาะสมกับ EKS เวอร์ชันล่าสุด สามารถดูคำแนะนำเกี่ยวกับการอัปเดตโหนดผู้ปฏิบัติงานได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html
AWS Elastic Beanstalk
แพลตฟอร์ม AWS Elastic Beanstalk ที่ใช้ Linux จะใช้งานได้ในวันที่ 17 มิถุนายน 2019 กระดานข่าวนี้จะได้รับการอัปเดตเมื่อแพลตฟอร์มเวอร์ชันใหม่พร้อมใช้งานแล้ว ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการจะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในกำหนดเวลาการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการอื่นใด หรืออีกวิธีหนึ่ง ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการสามารถนำอัปเดตที่ใช้งานได้มาใช้โดยอิสระก่อนกำหนดเวลาการดูแลรักษาที่เลือกไว้ โดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ และคลิกที่ปุ่ม "นำไปใช้ทันที"
ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการต้องอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนโดยทำตามคำแนะนำข้างบนนี้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแพลตฟอร์มที่มีการจัดการได้ที่ https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache เปิดใช้คลัสเตอร์อินสแตนซ์ของ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือ และไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่เปลี่ยนแปลงการกำหนดค่าเริ่มต้นของ ElastiCache VPC ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย ElastiCache ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยกำหนดค่าเพื่อให้บล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่า ElastiCache VPC ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html
ลูกค้าที่มีคลัสเตอร์ ElastiCache ทำงานนอก VPC ของตน และได้เปลี่ยนแปลงการกำหนดค่าเริ่มต้น ควรกำหนดค่าการเข้าถึงที่เชื่อถือได้โดยใช้กลุ่มความปลอดภัย ElastiCache สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มความปลอดภัย ElastiCache โปรดดู https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ทีม ElastiCache จะออกโปรแกรมแก้ไขใหม่ในอีกไม่นาน ซึ่งจะแก้ไขปัญหาเหล่านี้ เมื่อโปรแกรมแก้ไขดังกล่าวใช้งานได้แล้ว เราจะแจ้งลูกค้าว่าพร้อมแล้วที่จะนำไปใช้ จากนั้น ลูกค้าสามารถเลือกอัปเดตคลัสเตอร์ของตนด้วยคุณสมบัติการอัปเดตแบบบริการตนเองของ ElastiCache ได้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแก้ไขแบบบริการตนเองของ ElastiCache ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html
Amazon EMR
Amazon EMR เปิดใช้คลัสเตอร์อินสแตนซ์ของ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้าในนามของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือ ด้วยเหตุนี้จึงไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่เปลี่ยนแปลงการกำหนดค่าเริ่มต้นของ EMR VPC ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย EMR ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยจะบล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ดูที่ https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html สำหรับข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มความปลอดภัย EMR
ลูกค้าที่เลือกไม่กำหนดค่ากลุ่มความปลอดภัย EMR ตามแนวทางปฏิบัติที่ดีที่สุดที่ AWS แนะนำ (หรือต้องการให้โปรแกรมแก้ไขระบบปฏิบัติการสอดคล้องกับนโยบายความปลอดภัยเพิ่มเติมใดๆ) สามารถทำตามคำแนะนำด้านล่างนี้เพื่ออัปเดตคลัสเตอร์ EMR ใหม่หรือที่มีอยู่แล้วเพื่อแก้ไขปัญหาเหล่านี้ หมายเหตุ: อัปเดตเหล่านี้กำหนดให้ต้องรีบูตคลัสเตอร์อินสแตนซ์และอาจกระทบแอปพลิเคชันที่กำลังทำงานอยู่ได้ ลูกค้าไม่ควรรีสตาร์ทคลัสเตอร์ของตนจนกว่าจะเห็นว่าจำเป็นต้องรีสตาร์ท
สำหรับคลัสเตอร์ใหม่ ใช้คำสั่งเริ่มต้นระบบ EMR เพื่ออัปเดตเคอร์เนล Linux และรีบูตแต่ละอินสแตนซ์ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับคำสั่งเริ่มต้นระบบ EMR ได้ที่ https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
สำหรับคลัสเตอร์ที่มีอยู่แล้ว อัปเดตเคอร์เนลของ Linux บนแต่ละอินสแตนซ์ภายในคลัสเตอร์ และทยอยรีบูตอินสแตนซ์เหล่านั้นตามลำดับ