อัปเดตล่าสุด: 17 มิถุนายน 2019 17:00 น. ตามเวลา PDT

ตัวระบุ CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479

นี่คือการอัปเดตสำหรับปัญหานี้

AWS Elastic Beanstalk

เวอร์ชันที่อัปเดตแล้วของแพลตฟอร์ม AWS Elastic Beanstalk ที่ใช้ Linux พร้อมใช้งาน ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในกำหนดเวลาการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการใดๆ หรืออีกวิธีหนึ่ง ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการสามารถนำอัปเดตที่มีอยู่มาใช้ได้โดยอิสระก่อนกำหนดเวลาการดูแลรักษาที่เลือกไว้ โดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ และคลิกที่ปุ่ม "นำไปใช้ทันที"

ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการต้องอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนโดยทำตามคำแนะนำข้างบนนี้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแพลตฟอร์มที่มีการจัดการได้ที่ https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html

Amazon Linux และ Amazon Linux 2

เคอร์เนลของ Linux ที่อัปเดตแล้วสำหรับ Amazon Linux มีให้ใช้งานได้ในคลังของ Amazon Linux และ Amazon Linux AMI ที่อัปเดตแล้วพร้อมใช้งานแล้ว ลูกค้าที่มีอินสแตนซ์ EC2 ปัจจุบันที่เรียกใช้ Amazon Linux ควรเรียกใช้คำสั่งดังต่อไปนี้ภายในแต่ละอินสแตนซ์ EC2 ที่เรียกใช้ Amazon Linux เพื่อให้แน่ใจว่าได้รับแพ็คเกจที่อัปเดตแล้ว:

sudo yum update kernel

เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ ของเคอร์เนลของ Linux หลังจากการอัปเดต Yum เสร็จสิ้น จำเป็นต้องรีบูตเพื่อให้การอัปเดตมีผล

ลูกค้าที่ไม่ได้ใช้ Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ สามารถดูข้อมูลเพิ่มเติมได้ที่ศูนย์ความปลอดภัยของ Amazon Linux

Amazon Elastic Compute Cloud (EC2)

อินสแตนซ์ EC2 ที่ใช้ Linux ของลูกค้าที่เริ่มต้นหรือได้รับการเชื่อมต่อ TCP โดยตรงไปยังหรือจากฝ่ายที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต จะต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ใดๆ ที่อาจเกิดขึ้นของปัญหาเหล่านี้ หมายเหตุ: ลูกค้าที่ใช้ Amazon Elastic Load Balancing (ELB) ควรตรวจสอบ "Elastic Load Balancing (ELB)" ที่ด้านล่างนี้เพื่อดูแนวทางเพิ่มเติม

Elastic Load Balancing (ELB)

TCP Network Load Balancer (NLB) ไม่ได้กรองปริมาณข้อมูล เว้นแต่จะได้รับการกำหนดค่าเพื่อสิ้นสุดเซสชัน TLS NLB ที่กำหนดค่าให้สิ้นสุดเซสชัน TLS ไม่จำเป็นต้องให้ลูกค้าดำเนินการเพิ่มเติมใดๆ เพื่อแก้ไขปัญหานี้

อินสแตนซ์ EC2 ที่ใช้ Linux และใช้ TCP NLB ที่ไม่ได้สิ้นสุดเซสชัน TLS ต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ซึ่งเกี่ยวข้องกับปัญหาเหล่านี้ เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux ขณะนี้ใช้งานได้แล้ว และคำแนะนำสำหรับการอัปเดตอินสแตนซ์ EC2 ที่กำลังใช้งาน Amazon Linux แสดงอยู่ข้างบนนี้ ลูกค้าที่ไม่ได้ใช้ Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ใดๆ ที่อาจเกิดขึ้น

อินสแตนซ์ EC2 ที่ใช้ Linux และใช้ Elastic Load Balancing (ELB), Classic Load Balancer, Application Load Balancer, หรือ Network Load Balancer ที่มีการสิ้นสุด TLS (TLS NLB) ไม่จำเป็นต้องให้ลูกค้าดำเนินการใดๆ ELB Classic และ ALB จะกรองปริมาณข้อมูลที่เข้ามาเพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้

Amazon WorkSpaces (Linux)

Amazon Linux WorkSpace ใหม่ทั้งหมดจะถูกเปิดใช้ด้วยเคอร์เนลที่อัปเดตแล้ว เคอร์เนลที่อัปเดตแล้วสำหรับ Amazon Linux 2 ได้รับการติดตั้งแล้วสำหรับ Amazon Linux WorkSpace ปัจจุบัน

เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ ของเคอร์เนลของ Linux จะต้องรีบูตเพื่อให้การอัปเดตมีผล เราขอแนะนำให้ลูกค้ารีบูตด้วยตนเองในทันทีที่เป็นไปได้ มิฉะนั้น Amazon Linux WorkSpace จะรีบูตโดยอัตโนมัติระหว่างเวลา 24:00 น. ถึง 4:00 น. ตามเวลาท้องถิ่นในวันที่ 18 มิถุนายน

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

คลัสเตอร์ Amazon EKS ที่กำลังทำงานอยู่ทั้งหมดจะได้รับการปกป้องจากปัญหาเหล่านี้ Amazon EKS ได้เผยแพร่ Amazon Machine Image (AMI) ที่ปรับให้เหมาะสมกับ EKS ที่อัปเดตแล้วด้วยเคอร์เนลของ Amazon Linux 2 ที่แก้ไขแล้วในวันที่ 17 มิถุนายน 2019 สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ AMI ที่ปรับให้เหมาะสมกับ EKS ได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html

เราขอแนะนำให้ลูกค้า EKS เปลี่ยนโหนดผู้ปฏิบัติงานทั้งหมดเพื่อใช้ AMI ที่ปรับให้เหมาะสมกับ EKS เวอร์ชันล่าสุด สามารถดูคำแนะนำเกี่ยวกับการอัปเดตโหนดผู้ปฏิบัติงานได้ที่ https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html

Amazon ElastiCache

Amazon ElastiCache เปิดใช้คลัสเตอร์ของอินสแตนซ์ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือ และไม่ได้รับผลกระทบจากปัญหาเหล่านี้

ลูกค้ารายใดก็ตามที่เปลี่ยนแปลงการกำหนดค่า ElastiCache VPC ตามค่าเริ่มต้น ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย ElastiCache ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยกำหนดค่าเพื่อให้บล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่า ElastiCache VPC ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html

ลูกค้าที่มีคลัสเตอร์ ElastiCache ทำงานนอก VPC ของตน และได้เปลี่ยนแปลงการกำหนดค่าเริ่มต้น ควรกำหนดค่าการเข้าถึงที่เชื่อถือได้โดยใช้กลุ่มความปลอดภัย ElastiCache สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มความปลอดภัย ElastiCache ดูที่https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html

ทีม ElastiCache จะออกโปรแกรมแก้ไขใหม่เร็วๆ นี้ ซึ่งจะแก้ไขปัญหาเหล่านี้ เมื่อโปรแกรมแก้ไขดังกล่าวใช้งานได้แล้ว เราจะแจ้งลูกค้าว่าพร้อมแล้วที่จะนำไปใช้ จากนั้น ลูกค้าสามารถเลือกอัปเดตคลัสเตอร์ของตนด้วยคุณสมบัติการอัปเดตแบบบริการตนเองของ ElastiCache ได้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแก้ไขแบบบริการตนเองของ ElastiCache ได้ที่ https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html

Amazon EMR

Amazon EMR เปิดใช้คลัสเตอร์ของอินสแตนซ์ Amazon EC2 ที่ใช้งาน Amazon Linux ใน VPC ของลูกค้าในนามของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือ ด้วยเหตุนี้จึงไม่ได้รับผลกระทบจากปัญหาเหล่านี้

ลูกค้ารายใดก็ตามที่เปลี่ยนแปลงการกำหนดค่าเริ่มต้นของ EMR VPC ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย EMR ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยจะบล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีแบบ DoS ที่อาจเกิดขึ้นใดๆ ดู https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html สำหรับข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มความปลอดภัย EMR

ลูกค้าที่เลือกไม่กำหนดค่ากลุ่มความปลอดภัย EMR ตามแนวทางปฏิบัติที่ดีที่สุดที่ AWS แนะนำ (หรือต้องการให้โปรแกรมแก้ไขระบบปฏิบัติการสอดคล้องกับนโยบายความปลอดภัยเพิ่มเติมใดๆ) สามารถทำตามคำแนะนำด้านล่างนี้เพื่ออัปเดตคลัสเตอร์ EMR ใหม่หรือที่มีอยู่แล้วเพื่อแก้ไขปัญหาเหล่านี้ หมายเหตุ: อัปเดตเหล่านี้กำหนดให้ต้องรีบูตอินสแตนซ์คลัสเตอร์ และอาจกระทบแอปพลิเคชันที่กำลังทำงานอยู่ได้ ลูกค้าไม่ควรรีสตาร์ทคลัสเตอร์ของตนจนกว่าจะเห็นว่าจำเป็นต้องรีสตาร์ท:

สำหรับคลัสเตอร์ใหม่ ใช้คำสั่งเริ่มต้นระบบ EMR เพื่ออัปเดตเคอร์เนล Linux และรีบูตแต่ละอินสแตนซ์ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับคำสั่งเริ่มต้นระบบ EMR ได้ที่ https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html

สำหรับคลัสเตอร์ที่มีอยู่แล้ว อัปเดตเคอร์เนล Linux บนแต่ละอินสแตนซ์ภายในคลัสเตอร์ และทยอยรีบูตอินสแตนซ์เหล่านั้นตามลำดับ