您正在檢視此安全佈告欄的舊版本。如需最新版本,請造訪:「處理器推測執行研究披露」。

相關內容:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

更新截止時間︰2018/01/12 17:00 PST

這是此問題的更新。

Amazon Linux 的第二個核心版本已發佈,該版本解決了 KPTI 錯誤,並改進了 CVE-2017-5754 的緩和措施。客戶必須升級至最新 Amazon Linux 核心或 AMI,才能有效緩解其執行個體內的 CVE-2017-5754 的處理程序對處理程序問題。請參閱 “Amazon Linux AMI” 相關資訊以進一步了解。 

請參閱「PV 執行個體指導」,以進一步了解有關以下半虛擬化 (PV) 執行個體的資訊。

Amazon EC2

Amazon EC2 機群中的所有執行個體都受保護,可防禦之前所列 CVE 的所有已知執行個體對執行個體問題。執行個體對執行個體問題是假設未受信任的鄰近執行個體可以讀取另一個執行個體或 AWS Hypervisor 的記憶體。已為 AWS Hypervisor 解決此問題,任何執行個體都不能讀取其他執行個體的記憶體,任何執行個體也不能讀取 AWS Hypervisor 記憶體。如之前所述,我們尚未發現對絕大多數 EC2 工作負載有重大的效能影響。

我們已發現因 Intel 微碼更新而引起少數執行個體和應用程式當機,正在直接與受影響的客戶合作。針對 AWS 中出現這些問題的平台,我們剛剛完成了新 Intel CPU 微碼部分的停用。這似乎減輕了這些執行個體的問題。Amazon EC2 機群中的所有執行個體都仍然受到保護,免受所有已知威脅向量的攻擊。停用的 Intel 微碼針對 CVE-2017-5715 問題的理論威脅向量提供了額外的保護。一旦 Intel 提供了更新的微碼,我們預計就能在不久的將來重新啟動這些附加保護 (以及我們一直在努力進行的一些附加性能最佳化)。

針對 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 建議的客戶動作

雖然如上所述所有客戶執行個體都受保護,但是我們建議客戶修補執行個體作業系統,以隔離在同一執行個體中執行的軟體,並緩和 CVE-2017-5754 的處理程序對處理程序問題。如需更多詳細資訊,請參閱有關修補程式可用性和部署的特定供應商指南。

特定供應商指南︰

對於未列出的作業系統,客戶應諮詢其作業系統或 AMI 供應商,以獲取更新和說明。

PV 執行個體指導

在持續研究和詳細分析可用於此問題的作業系統修補程式之後,我們已確定作業系統保護不足,無法解決半虛擬化 (PV) 執行個體內的處理程序對處理程序問題。雖然如上所述 PV 執行個體受 AWS Hypervisor 保護可防禦任何執行個體對執行個體問題,但是強烈建議與 PV 執行個體 (例如,處理未受信任的資料、執行未受信任的代碼、託管未受信任的使用者) 內的處理程序隔離相關的客戶移轉至 HVM 執行個體類型,以取得更長期的安全優勢。

如需有關 PV 與 HVM 之間差異的詳細資訊 (以及執行個體升級路徑文件),請參閱:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

如果在任何 PV 執行個體的升級路徑中需要協助,請聯絡支援部門。

其他 AWS 服務的更新

以下服務需要修補代表客戶管理的 EC2 執行個體,這些服務已完成所有工作,客戶不需要採取任何動作:

  • Fargate
  • Lambda

除非下文另有說明,否則所有其他 AWS 服務都不需要客戶採取動作。

Amazon Linux AMI (佈告欄 ID:ALAS-2018-939)

Amazon Linux 儲存庫中提供了更新的 Amazon Linux 核心。在 2018 年 1 月 8 日晚上或之後使用預設 Amazon Linux 組態啟動的 EC2 執行個體,會自動包含更新的套件,其解決了 KPTI 錯誤,並改進了 CVE-2017-5754 的緩和措施。

注意︰客戶必須升級至最新 Amazon Linux 核心或 AMI,才能有效緩解其執行個體內的 CVE-2017-5754 的問題。我們將繼續提供 Amazon Linux 改進功能和更新的 Amazon Linux AMI;整合了開放原始碼 Linux 社群內容,以解決此問題。

對於使用現有 Amazon Linux AMI 執行個體的客戶,應執行以下命令,以確保其收到更新的套件:

sudo yum update kernel

如同 Linux 核心的任何更新的標準做法,yum 更新完成後,需要重新啟動,更新才會生效。

Amazon Linux AMI 安全中心提供了有關此佈告欄的更多資訊。

對於 Amazon Linux 2,請遵循上述關於 Amazon Linux 的說明。

EC2 Windows

我們已更新 AWS Windows AMI。這些功能現在可供客戶使用,並且 AWS Windows AMI 已安裝必要的修補程式,並啟用了登錄機碼。

Microsoft 已針對 Server 2008R2、2012R2 和 2016 提供 Windows 修補程式。修補程式可透過 Server 2016 的內建 Windows Update Service 獲得。我們正在等待 Microsoft 提供有關 Server 2003、2008SP2 和 2012RTM 修補程式可用性的資訊。

在 EC2 上執行 Windows 執行個體且啟用了「自動更新」的 AWS 客戶,應執行自動更新以下載並安裝 Windows 必要更新 (若可用)。

請注意,Server 2008R2 和 2012R2 修補程式目前無法透過 Windows Update 獲得,需要手動下載。Microsoft 先前建議這些修補程式將於 1 月 9 日 (週二) 提供,但我們仍在等待有關其可用性的資訊。

在 EC2 上執行 Windows 執行個體且未啟用「自動更新」的 AWS 客戶,應按照以下說明手動安裝必要的更新 (若可用):http://windows.microsoft.com/en-us/windows7/install-windows-updates

請注意,對於 Windows Server,Microsoft 需要採取額外步驟,才能啟用此問題的更新保護功能,請參閱以下說明:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

ECS 最佳化 AMI

我們發佈了 Amazon ECS 最佳化 AMI 2017.09.f 版,該版本包含了此問題的所有 Amazon Linux 保護,包括上述提到的第二個 Amazon Linux 核心更新。我們建議所有 Amazon ECS 客戶升級至 AWS Marketplace 中提供的最新版本。一旦改進可用之後,我們會繼續合併 Amazon Linux 改進。

選擇就地更新現有 ECS 最佳化 AMI 執行個體的客戶,應執行以下命令,以確保收到更新套件:

sudo yum update kernel

如同所有 Linux 核心更新的標準做法,yum 更新完成後,需要重新啟動,更新才會生效。

我們建議未使用 ECS 最佳化 AMI 的 Linux 客戶視需要向任何替代/第三方作業系統、軟體或 AMI 的廠商諮詢,來取得更新與指示。您可在 Amazon Linux AMI 安全中心中查看 Amazon Linux 的相關指示。

我們正在更新 Amazon ECS 最佳化 Windows AMI,並且會在可用時更新此佈告欄。Microsoft 已針對 Server 2016 提供 Windows 修補程式。如需有關如何將修補程式套用至執行中的執行個體的詳細資訊,請參閱 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Elastic Beanstalk

我們已更新所有 Linux 型平台,以包括針對此問題的所有 Amazon Linux 保護。請參閱特定平台版本的版本備註。我們建議 Elastic Beanstalk 客戶將環境更新為可用的最新平台版本。在設定的維護時段中,會自動更新使用受管更新的環境。

Windows 型平台也已更新,以包括針對此問題的所有 EC2 Windows 保護。建議客戶將其 Windows 型 Elastic Beanstalk 環境更新為可用的最新平台組態。

EMR

Amazon EMR 代表客戶將執行 Amazon Linux 的 Amazon EC2 執行個體叢集啟動到客戶的帳戶。如上所述建議,涉及 Amazon EMR 叢集執行個體內處理程序隔離的客戶應升級到最新 Amazon Linux 核心。我們正在將最新的 Amazon Linux 核心合併至 5.11.x 分支和 4.9.x 分支上的新次要版本中。客戶將能夠使用這些版本建立新的 Amazon EMR 叢集。我們將在這些版本可用時更新此佈告欄。

對於目前 Amazon EMR 版本與客戶可能具有的任何有關聯並且正在執行的執行個體,我們建議更新為最新 Amazon Linux 核心 (如上所述建議)。對於新叢集,客戶可以使用引導操作更新 Linux 核心並重新啟動每個執行個體。對於正在執行的叢集,客戶可以加速 Linux 核心更新,並以滾動方式為叢集中的每個執行個體重新啟動。請注意,重新啟動特定處理程序可能會影響叢集內正在執行的應用程式。

RDS

每個 RDS 受管客戶資料庫執行個體都專用於僅為單一客戶執行資料庫引擎,沒有其他客戶可存取的處理程序,也沒有讓客戶在基礎執行個體上執行程式碼的功能。在 AWS 完成所有基礎設施的基礎 RDS 保護後,此問題的處理程序對核心或處理程序對處理程序問題不會讓客戶面臨風險。目前大多數資料庫引擎 RDS 支援都尚未報告已知的處理程序內問題。以下是其他特定資料庫引擎的詳細資訊,除非另有說明,否則客戶無需採取任何動作。該 AMI 可用後,我們將立即更新此佈告欄。

對於 SQL Server 資料庫執行個體的 RDS,一旦 Microsoft 提供修補程式,我們就會發佈作業系統和資料庫引擎修補程式,讓客戶在自己選擇的時間進行升級。作業系統或資料庫引擎修補程式完成後,我們將更新此佈告欄。同時,啟用 CLR (預設情況下停用) 的客戶應檢閱 Microsoft 關於停用 CLR 擴充的指導,網址為 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

對於 RDS PostgreSQL 和 Aurora PostgreSQL,在預設組態中執行的資料庫執行個體目前不需要客戶採取任何動作。一旦可用,我們將為 plv8 擴充功能的使用者提供適當的修補程式。同時,已啟用 plv8 擴充功能 (預設情況下停用) 的客戶應考慮停用這些擴充功能,並檢閱 V8 的指導,網址為 https://github.com/v8/v8/wiki/Untrusted-code-mitigations

RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 資料庫執行個體目前不需要客戶採取任何動作。

VMware Cloud on AWS

根據 VMware,「自 2017 年 12 月初,VMware Cloud on AWS 中就已提供 VMSA-2018-0002 中記錄的修復。」

請參閱 VMware 安全與合規部落格,以取得更多詳細資訊,並瀏覽 https://status.vmware-services.io,以了解最新情況。

WorkSpaces

AWS 會在下一個週末將 Microsoft 發佈的安全更新套用於大多數 AWS WorkSpaces。客戶需要在此期間重新啟動其 WorkSpaces。

自有授權 (BYOL) 客戶以及已在 WorkSpaces 中變更預設更新設定的客戶應手動套用 Microsoft 提供的安全更新。

請遵循 Microsoft 安全建議提供的說明操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。安全建議包括指向同時適用於 Windows Server 和 Windows Client 作業系統的知識庫文章的連結,可提供進一步的特定資訊。

具有這些安全更新的更新版 WorkSpaces 套件即將推出。已建立自訂服務包的客戶應更新其服務包,以包括安全更新本身。透過沒有更新的套件啟動的任何新 WorkSpaces 將在啟動後不久收到修補程式,除非客戶已在 WorkSpaces 中變更預設更新設定,在此情況下客戶應遵循上面的步驟手動套用 Microsoft 提供的安全更新。

WorkSpaces Application Manager (WAM)

我們建議客戶選擇以下其中一個行動方案:

選項 1:遵循 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 中提供的步驟,手動對 WAM Packager 和驗證程式的正在執行的執行個體套用 Microsoft 修補程式。此頁提供進一步說明和 Windows Server 的相關下載。

選項 2:從更新的 AMI 中為 WAM Packager 和 Validator 重新建立新的 WAM Packager 和 Validator EC2 執行個體,這些執行個體將於 (2018/01/04) 當日結束時推出。