您正在檢視此安全佈告欄的舊版本。如需最新版本,請造訪:「處理器推測執行研究披露」。
相關內容:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新截止時間︰2018/01/13 13:00 PST
這是此問題的更新。
Amazon Linux 的第二個核心版本已發佈,該版本解決了 KPTI 錯誤,並改進了 CVE-2017-5754 的緩和措施。客戶必須升級至最新 Amazon Linux 核心或 AMI,才能有效緩解其執行個體內的 CVE-2017-5754 的處理程序對處理程序問題。請參閱 “Amazon Linux AMI” 相關資訊以進一步了解。
請參閱「PV 執行個體指導」,以進一步了解有關以下半虛擬化 (PV) 執行個體的資訊。
Amazon EC2
Amazon EC2 機群中的所有執行個體都受保護,可防禦之前所列 CVE 的所有已知執行個體對執行個體問題。執行個體對執行個體問題是假設未受信任的鄰近執行個體可以讀取另一個執行個體或 AWS Hypervisor 的記憶體。已為 AWS Hypervisor 解決此問題,任何執行個體都不能讀取其他執行個體的記憶體,任何執行個體也不能讀取 AWS Hypervisor 記憶體。如之前所述,我們尚未發現有對絕大多數 EC2 工作負載造成重大效能影響。
我們已發現因 Intel 微碼更新而引起少數執行個體和應用程式當機,正在直接與受影響的客戶合作。針對 AWS 中出現這些問題的平台,我們剛剛完成了新 Intel CPU 微碼部分的停用。這似乎減輕了這些執行個體的問題。Amazon EC2 機群中的所有執行個體都仍然受到保護,免受所有已知威脅向量的攻擊。停用的 Intel 微碼針對 CVE-2017-5715 問題的理論威脅向量提供了額外的保護。一旦 Intel 提供了更新的微碼,我們預計就能在不久的將來重新啟動這些附加保護 (以及我們一直在努力進行的一些附加性能最佳化)。
針對 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 建議的客戶動作
雖然如上所述所有客戶執行個體都受保護,但是我們建議客戶修補執行個體作業系統,以隔離在同一執行個體中執行的軟體,並緩和 CVE-2017-5754 的處理程序對處理程序問題。如需更多詳細資訊,請參閱有關修補程式可用性和部署的特定供應商指南。
特定供應商指南︰
- Amazon Linux – 更多詳細資訊請見下方。
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
對於未列出的作業系統,客戶應諮詢其作業系統或 AMI 供應商,以獲取更新和說明。
PV 執行個體指導
在持續研究和詳細分析可用於此問題的作業系統修補程式之後,我們已確定作業系統保護不足,無法解決半虛擬化 (PV) 執行個體內的處理程序對處理程序問題。雖然如上所述 PV 執行個體受 AWS Hypervisor 保護可防禦任何執行個體對執行個體問題,但是強烈建議與 PV 執行個體 (例如,處理未受信任的資料、執行未受信任的代碼、託管未受信任的使用者) 內的處理程序隔離相關的客戶移轉至 HVM 執行個體類型,以取得更長期的安全優勢。
如需有關 PV 與 HVM 之間差異的詳細資訊 (以及執行個體升級路徑文件),請參閱:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
如果在任何 PV 執行個體的升級路徑中需要協助,請聯絡支援部門。
其他 AWS 服務的更新
以下服務需要修補代表客戶管理的 EC2 執行個體,這些服務已完成所有工作,客戶不需要採取任何動作:
- Fargate
- Lambda
除非下文另有說明,否則所有其他 AWS 服務都不需要客戶採取動作。
Amazon Linux AMI (佈告欄 ID:ALAS-2018-939)
Amazon Linux 儲存庫中提供了更新的 Amazon Linux 核心。在 2018 年 1 月 8 日晚上或之後使用預設 Amazon Linux 組態啟動的 EC2 執行個體,會自動包含更新的套件,其解決了 KPTI 錯誤,並改進了 CVE-2017-5754 的緩和措施。
注意︰客戶必須升級至最新 Amazon Linux 核心或 AMI,才能有效緩解其執行個體內的 CVE-2017-5754 的問題。我們將繼續提供 Amazon Linux 改進功能和更新的 Amazon Linux AMI;整合了開放原始碼 Linux 社群內容,以解決此問題。
對於使用現有 Amazon Linux AMI 執行個體的客戶,應執行以下命令,以確保其收到更新的套件:
sudo yum update kernel
如同 Linux 核心的任何更新的標準做法,yum 更新完成後,需要重新啟動,更新才會生效。
Amazon Linux AMI 安全中心提供了有關此佈告欄的更多資訊。
對於 Amazon Linux 2,請遵循上述關於 Amazon Linux 的說明。
EC2 Windows
我們已更新 AWS Windows AMI。這些功能現在可供客戶使用,並且 AWS Windows AMI 已安裝必要的修補程式,並啟用了登錄機碼。
Microsoft 已針對 Server 2008R2、2012R2 和 2016 提供 Windows 修補程式。修補程式可透過 Server 2016 的內建 Windows Update Service 獲得。我們正在等待 Microsoft 提供有關 Server 2003、2008SP2 和 2012RTM 修補程式可用性的資訊。
在 EC2 上執行 Windows 執行個體且啟用了「自動更新」的 AWS 客戶,應執行自動更新以下載並安裝 Windows 必要更新 (若可用)。
請注意,Server 2008R2 和 2012R2 修補程式目前無法透過 Windows Update 獲得,需要手動下載。Microsoft 先前建議這些修補程式將於 1 月 9 日 (週二) 提供,但我們仍在等待有關其可用性的資訊。
在 EC2 上執行 Windows 執行個體且未啟用「自動更新」的 AWS 客戶,應按照以下說明手動安裝必要的更新 (若可用):http://windows.microsoft.com/en-us/windows7/install-windows-updates。
請注意,對於 Windows Server,Microsoft 需要採取額外步驟,才能啟用此問題的更新保護功能,請參閱以下說明:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
ECS 最佳化 AMI
我們發佈了 Amazon ECS 最佳化 AMI 2017.09.f 版,該版本包含了此問題的所有 Amazon Linux 保護,包括上述提到的第二個 Amazon Linux 核心更新。我們建議所有 Amazon ECS 客戶升級至 AWS Marketplace 中提供的最新版本。一旦改進可用之後,我們會繼續合併 Amazon Linux 改進。
選擇就地更新現有 ECS 最佳化 AMI 執行個體的客戶,應執行以下命令,以確保收到更新套件:
sudo yum update kernel
如同所有 Linux 核心更新的標準做法,yum 更新完成後,需要重新啟動,更新才會生效。
我們建議未使用 ECS 最佳化 AMI 的 Linux 客戶視需要向任何替代/第三方作業系統、軟體或 AMI 的廠商諮詢,來取得更新與指示。您可在 Amazon Linux AMI 安全中心中查看 Amazon Linux 的相關指示。
我們正在更新 Amazon ECS 最佳化 Windows AMI,並且會在可用時更新此佈告欄。Microsoft 已針對 Server 2016 提供 Windows 修補程式。如需有關如何將修補程式套用至執行中的執行個體的詳細資訊,請參閱 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
Elastic Beanstalk
我們已更新所有 Linux 型平台,以包括針對此問題的所有 Amazon Linux 保護。請參閱特定平台版本的版本備註。我們建議 Elastic Beanstalk 客戶將環境更新為可用的最新平台版本。在設定的維護時段中,會自動更新使用受管更新的環境。
Windows 型平台也已更新,以包括針對此問題的所有 EC2 Windows 保護。建議客戶將其 Windows 型 Elastic Beanstalk 環境更新為可用的最新平台組態。
ElastiCache
每個 ElastiCache 受管客戶快取節點專用於僅為單一客戶執行快取引擎,沒有其他客戶可存取的處理程序,也沒有讓客戶在基礎執行個體上執行程式碼的功能。在 AWS 完成保護所有基礎設施的基礎 ElastiCache 時,此問題的處理程序對核心或處理程序對處理程序問題不會讓客戶面臨風險。目前兩種快取引擎 ElastiCache 支援都尚未報告已知的處理程序內問題。
EMR
Amazon EMR 代表客戶將執行 Amazon Linux 的 Amazon EC2 執行個體叢集啟動到客戶的帳戶。如上所述建議,涉及 Amazon EMR 叢集執行個體內處理程序隔離的客戶應升級到最新 Amazon Linux 核心。我們正在將最新的 Amazon Linux 核心合併至 5.11.x 分支和 4.9.x 分支上的新次要版本中。客戶將能夠使用這些版本建立新的 Amazon EMR 叢集。我們將在這些版本可用時更新此佈告欄。
對於目前 Amazon EMR 版本與客戶可能具有的任何有關聯並且正在執行的執行個體,我們建議更新為最新 Amazon Linux 核心 (如上所述建議)。對於新叢集,客戶可以使用引導操作更新 Linux 核心並重新啟動每個執行個體。對於正在執行的叢集,客戶可以加速 Linux 核心更新,並以滾動方式為叢集中的每個執行個體重新啟動。請注意,重新啟動特定處理程序可能會影響叢集內正在執行的應用程式。
RDS
每個 RDS 受管客戶資料庫執行個體都專用於僅為單一客戶執行資料庫引擎,沒有其他客戶可存取的處理程序,也沒有讓客戶在基礎執行個體上執行程式碼的功能。在 AWS 完成所有基礎設施的基礎 RDS 保護後,此問題的處理程序對核心或處理程序對處理程序問題不會讓客戶面臨風險。目前大多數資料庫引擎 RDS 支援都尚未報告已知的處理程序內問題。以下是其他特定資料庫引擎的詳細資訊,除非另有說明,否則客戶無需採取任何動作。
對於 SQL Server 資料庫執行個體的 RDS,一旦 Microsoft 提供修補程式,我們就會發佈作業系統和資料庫引擎修補程式,讓客戶在自己選擇的時間進行升級。作業系統或資料庫引擎修補程式完成後,我們將更新此佈告欄。同時,啟用 CLR (預設情況下停用) 的客戶應檢閱 Microsoft 關於停用 CLR 擴充的指導,網址為 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server。
對於 RDS PostgreSQL 和 Aurora PostgreSQL,在預設組態中執行的資料庫執行個體目前不需要客戶採取任何動作。一旦可用,我們將為 plv8 擴充功能的使用者提供適當的修補程式。同時,已啟用 plv8 擴充功能 (預設情況下停用) 的客戶應考慮停用這些擴充功能,並檢閱 V8 的指導,網址為 https://github.com/v8/v8/wiki/Untrusted-code-mitigations。
RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 資料庫執行個體目前不需要客戶採取任何動作。
VMware Cloud on AWS
根據 VMware,「自 2017 年 12 月初,VMware Cloud on AWS 中就已提供 VMSA-2018-0002 中記錄的修復。」
請參閱 VMware 安全與合規部落格,以取得更多詳細資訊,並瀏覽 https://status.vmware-services.io,以了解最新情況。
WorkSpaces
Windows Server 2008 R2 客戶的 Windows 7 體驗:
Microsoft 已針對此問題發佈用於 Windows Server 2008 R2 的新安全更新。成功實施這些更新需要在伺服器上執行相容的防毒軟體,如 Microsoft 在安全更新中概述:https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software.WorkSpaces 客戶需要採取動作才能取得這些更新。請遵循 Microsoft 提供的說明進行操作:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
Windows Server 2016 客戶的 Windows 10 體驗:
AWS 已將安全更新套用於在 Windows Server 2016 上執行 Windows 10 體驗的 WorkSpaces。Windows 10 已內建與這些安全更新相容的 Windows Defender 防毒軟體。客戶不需要採取進一步的動作。
對於 BYOL 和已修改預設更新設定的客戶:
請注意,利用 WorkSpaces 使用自有授權 (BYOL) 功能的客戶以及已在 WorkSpaces 中變更預設更新設定的客戶應手動套用 Microsoft 提供的安全更新。如果此情況適用於您,請遵循 Microsoft 安全建議提供的說明操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。安全建議包括指向同時適用於 Windows Server 和 Windows Client 作業系統的知識庫文章的連結,可提供進一步的特定資訊。
具有這些安全更新的更新版 WorkSpaces 套件即將推出。已建立自訂服務包的客戶應更新其服務包,以包括安全更新本身。從沒有更新的服務包啟動的任何新 WorkSpaces 都會在啟動後立即收到修補程式,除非客戶變更了 WorkSpaces 中預設的更新設定或安裝了不相容的防毒軟體,在這種情況下,他們應該按照上述步驟手動套用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我們建議客戶選擇以下其中一個行動方案:
選項 1:遵循 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 中提供的步驟,手動套用 Microsoft 針對擁有 WAM Packager 和驗證程式的執行中執行個體更新。此頁面提供進一步說明和相關下載。
選項 2:終止現有的 Packager 和驗證程式執行個體。使用標示為 "Amazon WAM Admin Studio 1.5.1" 和 "Amazon WAM Admin Player 1.5.1" 的更新 AMI 啟動新執行個體。