上次更新日期:2019 年 6 月 18 日上午 11:45 PDT

CVE 識別碼:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479

這是此問題的更新。

Amazon Elastic Container Service (ECS)

Amazon ECS 於 2019 年 6 月 17 日和 18 日發佈了更新的 ECS 最佳化 Amazon Machine Image (AMI),其中包含修補的 Amazon Linux 和 Amazon Linux 2 核心。您可在 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html 查看有關 ECS 最佳化 AMI (包括如何獲取最新版本) 的更多資訊。

我們建議 ECS 客戶應更新其 EC2 容器執行個體,以便使用最新的 ECS 最佳化 AMI 版本。

Amazon GameLift

適用於以 Linux 為基礎的 Amazon GameLift 執行個體的更新 AMI 現已在所有 Amazon GameLift 區域推出。我們建議使用以 Linux 為基礎的 Amazon GameLift 執行個體的客戶應建立新叢集,以挑選更新的 AMI。您可在 https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html 查看有關建立叢集的更多資訊。

AWS Elastic Beanstalk

以 AWS Elastic Beanstalk Linux 為基礎的平台的更新版本現已推出。使用受管平台更新的客戶會在其選取的維護時段自動更新至最新平台版本,無須採取任何其他動作。或者,使用受管平台更新的客戶可前往「受管更新」設定頁面,並按一下「立即套用」按鈕,進而在其選取的維護時段之前獨立套用可用更新。

未啟用受管平台更新的客戶必須遵循上述指示更新其環境平台版本。您可在 https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html 查看有關受管平台更新的更多資訊

Amazon Linux 與 Amazon Linux 2

Amazon Linux 儲存庫中提供了適用於 Amazon Linux 的更新的 Linux 核心,且更新的 Amazon Linux AMI 現已可供使用。對於使用現有 EC2 執行個體執行 Amazon Linux 的客戶,應在每個執行 Amazon Linux 的 EC2 執行個體內執行以下命令,以確保其收到更新套件:

sudo yum update kernel

如同 Linux 核心的任何更新的標準做法,yum 更新完成後,需要重新啟動,更新才會生效。

未使用 Amazon Linux 的客戶應聯絡其作業系統廠商,取得任何必需的更新或指示,進而減緩這些問題的任何潛在 DoS 疑慮。您可在 Amazon Linux 安全中心查看更多資訊。

Amazon Elastic Compute Cloud (EC2)

客戶啟動以 EC2 Linux 為基礎的執行個體或直接接收與不信任方之間的 TCP 連線,例如網際網絡,需要作業系統修補程式來減緩這些問題的任何潛在 DoS 疑慮。注意:使用 Amazon Elastic Load Balancing (ELB) 的客戶應審閱下文的 "Elastic Load Balancing (ELB)",以取得其他指導。

Elastic Load Balancing (ELB)

TCP Network Load Balancers (NLB) 不會篩選流量,除非將其設定為終止 TLS 工作階段。設定為 TLS 工作階段的 NLB 不需要客戶採取任何其他動作亦可減緩此問題。

若以 Linux 為基礎的 EC2 執行個體使用的 TCP NLB 並未終止 TLS 工作階段,則需要作業系統修補程式方能減緩與這些問題相關的任何潛在 DoS 疑慮。適用於 Amazon Linux 的更新核心現已推出,且上文提供了有關更新現執行 Amazon Linux 的 EC2 執行個體的說明。未使用 Amazon Linux 的客戶應聯絡其作業系統廠商,取得任何必需的更新或指示,進而減緩任何潛在 DoS 疑慮。

使用 Elastic Load Balancing (ELB) Classic Load Balancer、Application Load Balancer、或帶 TLS 終止的 Network Load Balancers (TLS NLB) 的以 Linux 為基礎的 EC2 執行個體,不需要客戶採取任何動作。ELB Classic 與 ALB 可篩選傳入流量,進而減緩這些問題的任何潛在 DoS 疑慮。

Amazon WorkSpaces (Linux)

所有新的 Amazon Linux WorkSpaces 將使用更新的核心進行啟動。現有的 Amazon Linux WorkSpaces 均已安裝適用於 Amazon Linux 2 的更新的核心。

如同 Linux 核心的任何更新的標準做法,需要重新啟動,更新才會生效。我們建議客戶應盡可能手動重新啟動。否則,Amazon Linux WorkSpaces 將於 6 月 18 日凌晨 12:00 和凌晨 4:00 間自動重新啟動。

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

所有目前執行的 Amazon EKS 叢集均可免受這些問題的影響。Amazon EKS 於 2019 年 6 月 17 日發佈了更新的 EKS 最佳化 Amazon Machine Image (AMI),其中包含修補的 Amazon Linux 2 核心。您可在 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html 查看有關 EKS 最佳化 AMI 的更多資訊。

我們建議 EKS 客戶取代所有工作者節點,以便使用最新的 EKS 最佳化 AMI 版本。您可在 https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html 查看更新工作者節點的相關指示。

Amazon ElastiCache

Amazon ElastiCache 將執行 Amazon Linux 的 Amazon EC2 執行個體叢集啟動到客戶 VPC。預設情況下,其不會接受不信任的 TCP 連線,亦不會受這些問題的影響。

任何對預設 ElastiCache VPC 組態進行變更的客戶,均應將其設定為阻止來自不信任的用戶端的網路流量,以減緩任何潛在 DoS 疑慮,進而確保其 ElastiCache 安全群組遵循 AWS 建議的安全最佳實務。 您可在 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html 查看有關 ElastiCache VPC 的更多資訊。

若客戶在其 VPC 外執行其 ElastiCache 叢集且對預設組態進行變更,則應使用 ElastiCache 安全群組設定信任的存取。 如需建立 ElastiCache 安全群組的詳細資訊,請參閱 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html

ElastiCache 團隊即將發佈可解決這些問題的新修補程式。該修補程式推出後,我們將立即通知客戶其已可套用。隨後,客戶可使用 ElastiCache 自助式更新功能更新其叢集。您可在 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html 查看有關 ElastiCache 自助式修補程式更新的更多資訊。

Amazon EMR

Amazon EMR 代表客戶將執行 Amazon Linux 的 Amazon EC2 執行個體叢集啟動到客戶的 VPC。預設情況下,這些叢集不會接受不信任的 TCP 連線,亦不會受這些問題的影響。

任何對預設 EMR VPC 組態進行變更的客戶,均應確保其 EMR 安全群組遵循 AWS 建議的安全最佳實務;阻止來自不信任的用戶端的網路流量,以減緩任何潛在 DoS 疑慮。如需 EMR 安全群組的詳細資訊,請參閱 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html

若客戶選擇不按照 AWS 建議的安全最佳實務設定 EMR 安全群組 (或需要作業系統修補程式以符合任何其他安全政策),則可遵循以下說明更新新的或現有的 EMR 叢集,進而減緩這些問題。注意:這些更新需要重新啟動叢集執行個體並且可能影響正在執行的應用程式。除非客戶認為需要重新啟動其叢集,否則不得重新啟動:

對於新叢集,可以使用 EMR 引導操作更新 Linux 核心並重新啟動每個執行個體。您可在 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html 查看有關 EMR 引導操作的更多資訊

對於現有的叢集,可更新叢集中每個執行個體的 Linux 核心,並以滾動方式重新啟動。