相關內容:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新截止時間:2018/03/05 下午 3:00 PST
這是此問題的更新。
Amazon Linux 儲存庫中提供了更新的 Amazon Linux 核心。在 2018 年 1 月 13 日或之後以預設 Amazon Linux 組態啟動的 EC2 執行個體將自動包括更新的套件,此套件合併了最新的穩定開放原始碼 Linux 安全改進功能,以解決核心內的 CVE-2017-5715 問題,套件中還有此前已合併的核心頁表隔離 (KPTI),解決 CVE-2017-5754 問題。 客戶必須升級至最新 Amazon Linux 核心或 AMI,才能有效緩解其執行個體內的 CVE-2017-5715 的處理程序對處理程序問題和 CVE-2017-5754 的處理程序對核心問題。如需詳細資訊,請參閱「處理器推測執行 – 作業系統更新」。
請參閱「PV 執行個體指導」,以進一步了解有關以下半虛擬化 (PV) 執行個體的資訊。
Amazon EC2
Amazon EC2 機群中的所有執行個體都受保護,可防禦 CVE-2017-5715、CVE-2017-5753 和 CVE-2017-5754 的所有已知執行個體對執行個體問題。執行個體對執行個體問題是假設未受信任的鄰近執行個體可以讀取另一個執行個體或 AWS Hypervisor 的記憶體。已為 AWS Hypervisor 解決此問題,任何執行個體都不能讀取其他執行個體的記憶體,任何執行個體也不能讀取 AWS Hypervisor 記憶體。如之前所述,我們尚未發現有對絕大多數 EC2 工作負載造成重大效能影響。
截至 2018 年 1 月 12 日,我們在 AWS 中已完成停用平台的一部分新 Intel CPU 微碼,在 AWS 中我們發現 Intel 微碼更新導致一小部分損毀及其他不可預測的行為。對於這一小部分執行個體,此變更緩解了這些問題。
針對 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 建議的客戶動作
雖然如上所述所有客戶執行個體都受保護,但是我們建議客戶修補執行個體作業系統,以解決此問題的處理程序對處理程序問題或處理程序對核心問題。請參閱「處理器推測執行 – 作業系統更新」,以了解針對 Amazon Linux 和 Amazon Linux 2、CentOS、Debian、Fedora、Microsoft Windows、Red Hat、SUSE 及 Ubuntu 的進一步指導和指示。
PV 執行個體指導
在持續研究和詳細分析可用於此問題的作業系統修補程式之後,我們已確定作業系統保護不足,無法解決半虛擬化 (PV) 執行個體內的處理程序對處理程序問題。雖然如上所述 PV 執行個體受 AWS Hypervisor 保護可防禦任何執行個體對執行個體問題,但是強烈建議與 PV 執行個體 (例如,處理未受信任的資料、執行未受信任的代碼、託管未受信任的使用者) 內的處理程序隔離相關的客戶移轉至 HVM 執行個體類型,以取得更長期的安全優勢。
如需有關 PV 與 HVM 之間差異的詳細資訊 (以及執行個體升級路徑文件),請參閱:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
如果在任何 PV 執行個體的升級路徑中需要協助,請聯絡支援部門。
其他 AWS 服務的更新
以下服務需要修補代表客戶管理的 EC2 執行個體,這些服務已完成所有工作,客戶不需要採取任何動作:
- Fargate
- Lambda
除非下文另有說明,否則所有其他 AWS 服務都不需要客戶採取動作。
ECS 最佳化 AMI
我們已發布 Amazon ECS 最佳化 AMI 2017.09.g 版,它合併了針對此問題的所有 Amazon Linux 保護。我們建議所有 Amazon ECS 客戶升級至 AWS Marketplace 中提供的最新版本。
選擇就地更新現有 ECS 最佳化 AMI 執行個體的客戶,應執行以下命令,以確保收到更新套件:
sudo yum update kernel
如同所有 Linux 核心更新的標準做法,yum 更新完成後,需要重新啟動,更新才會生效。
我們建議未使用 ECS 最佳化 AMI 的 Linux 客戶視需要向任何替代/第三方作業系統、軟體或 AMI 的廠商諮詢,來取得更新與指示。您可在 Amazon Linux AMI 安全中心中查看 Amazon Linux 的相關指示。
我們已發布 Amazon ECS 最佳化 Windows AMI 2018.01.10 版。如需有關如何將修補程式套用於正在執行的執行個體的詳細資訊,請參閱「處理器推測執行 – 作業系統更新」。
Elastic Beanstalk
我們已更新所有 Linux 型平台,以包括針對此問題的所有 Amazon Linux 保護。請參閱特定平台版本的版本備註。我們建議 Elastic Beanstalk 客戶將環境更新為可用的最新平台版本。在設定的維護時段中,會自動更新使用受管更新的環境。
Windows 型平台也已更新,以包括針對此問題的所有 EC2 Windows 保護。建議客戶將其 Windows 型 Elastic Beanstalk 環境更新為可用的最新平台組態。
ElastiCache
每個 ElastiCache 受管客戶快取節點專用於僅為單一客戶執行快取引擎,沒有其他客戶可存取的處理程序,也沒有讓客戶在基礎執行個體上執行程式碼的功能。在 AWS 完成保護所有基礎設施的基礎 ElastiCache 時,此問題的處理程序對核心或處理程序對處理程序問題不會讓客戶面臨風險。目前兩種快取引擎 ElastiCache 支援都尚未報告已知的處理程序內問題。
EMR
Amazon EMR 代表客戶將執行 Amazon Linux 的 Amazon EC2 執行個體叢集啟動到客戶的帳戶。如上述的建議,Amazon EMR 叢集的執行個體內與處理程序隔離相關的客戶應升級到最新 Amazon Linux 核心。我們已將最新 Amazon Linux 核心合併到新的次要版本 5.11.1、5.8.1、5.5.1 和 4.9.3。客戶可以使用這些版本建立新的 Amazon EMR 叢集。
對於目前 Amazon EMR 版本與客戶可能具有的任何有關聯並且正在進行的執行個體,我們建議更新為最新 Amazon Linux 核心 (如上述的建議)。對於新叢集,客戶可以使用引導操作更新 Linux 核心並重新啟動每個執行個體。對於正在執行的叢集,客戶可以加速 Linux 核心更新,並以滾動方式為叢集中的每個執行個體重新啟動。請注意,重新啟動特定處理程序可能會影響叢集內正在執行的應用程式。
RDS
每個 RDS 受管客戶資料庫執行個體都專用於僅為單一客戶執行資料庫引擎,沒有其他客戶可存取的處理程序,也沒有讓客戶在基礎執行個體上執行程式碼的功能。在 AWS 完成所有基礎設施的基礎 RDS 保護後,此問題的處理程序對核心或處理程序對處理程序問題不會讓客戶面臨風險。目前大多數資料庫引擎 RDS 支援都尚未報告已知的處理程序內問題。以下是其他資料庫引擎特定的詳細資訊,除非另有說明,否則客戶不需要採取任何動作。
對於 RDS for SQL Server 資料庫執行個體,我們已發行作業系統和引擎修補程式,其中包含 Microsoft 的以下引擎版本的修補程式:
SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)
客戶應檢閱 Microsoft 的有關套用這些修補程式的指導,並在選擇這些修補程式時進行套用:
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
對於 RDS PostgreSQL 和 Aurora PostgreSQL,在預設組態中執行的資料庫執行個體目前不需要客戶採取任何動作。一旦可用,我們將為 plv8 擴充功能的使用者提供適當的修補程式。同時,已啟用 plv8 擴充功能 (預設情況下停用) 的客戶應考慮停用這些擴充功能,並檢閱 V8 的指導,網址為 https://github.com/v8/v8/wiki/Untrusted-code-mitigations。
RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 資料庫執行個體目前不需要客戶採取任何動作。
VMware Cloud on AWS
根據 VMware,「自 2017 年 12 月初,VMware Cloud on AWS 中就已提供 VMSA-2018-0002 中記錄的修復。」
請參閱 VMware 安全與合規部落格,以取得更多詳細資訊,並瀏覽 https://status.vmware-services.io,以了解最新情況。
WorkSpaces
Windows Server 2008 R2 客戶的 Windows 7 體驗:
Microsoft 已針對此問題發佈用於 Windows Server 2008 R2 的新安全更新。成功實施這些更新需要在伺服器上執行相容的防毒軟體,如 Microsoft 在安全更新中概述:https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software.WorkSpaces 客戶需要採取動作才能取得這些更新。請遵循 Microsoft 提供的說明進行操作:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
Windows Server 2016 客戶的 Windows 10 體驗:
AWS 已將安全更新套用於在 Windows Server 2016 上執行 Windows 10 體驗的 WorkSpaces。Windows 10 已內建與這些安全更新相容的 Windows Defender 防毒軟體。客戶不需要採取進一步的動作。
對於 BYOL 和已修改預設更新設定的客戶:
請注意,利用 WorkSpaces 使用自有授權 (BYOL) 功能的客戶以及已在 WorkSpaces 中變更預設更新設定的客戶應手動套用 Microsoft 提供的安全更新。如果此情況適用於您,請遵循 Microsoft 安全建議提供的說明操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。安全建議包括指向同時適用於 Windows Server 和 Windows Client 作業系統的知識庫文章的連結,可提供進一步的特定資訊。
具有這些安全更新的更新版 WorkSpaces 套件即將推出。已建立自訂服務包的客戶應更新其服務包,以包括安全更新本身。從沒有更新的服務包啟動的任何新 WorkSpaces 都會在啟動後立即收到修補程式,除非客戶變更了 WorkSpaces 中預設的更新設定或安裝了不相容的防毒軟體,在這種情況下,他們應該按照上述步驟手動套用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我們建議客戶選擇以下其中一個行動方案:
選項 1:遵循 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 中提供的步驟,手動套用 Microsoft 針對擁有 WAM Packager 和驗證程式的執行中執行個體更新。此頁面提供進一步說明和相關下載。
選項 2:終止現有的 Packager 和驗證程式執行個體。使用標示為 "Amazon WAM Admin Studio 1.5.1" 和 "Amazon WAM Admin Player 1.5.1" 的已更新 AMI 啟動新的執行個體。