您正在檢視此安全佈告欄的舊版本。若需最新版本,請造訪「Linux 核心 TCP SACK 拒絕服務問題」。
2019 年 6 月 17 日上午 10:00 PDT
CVE 識別碼:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479
AWS 已知悉最近披露的會影響 Linux 核心的 TCP 處理子系統的三個問題。具體而言就是,惡意的 TCP 用戶端或伺服器可以傳輸一系列特別製作的封包,這些封包可能會造成目標連接系統的 Linux 核心錯誤和重新啟動。
AWS 的基礎系統和基礎設施均已受到保護,可免受此類問題的影響。無需客戶採取其他動作來減緩與這些問題有關的拒絕服務 (DoS) 疑慮,但以下列出的 AWS 服務除外。
Amazon Elastic Compute Cloud (EC2)
客戶的 Linux 型 EC2 執行個體無論是啟動還是直接接收與不信任方之間的 TCP 連線 (例如網際網絡),都需要作業系統修補程式來減緩這些問題的任何潛在 DoS 疑慮。注意:使用 Amazon Elastic Load Balancing (ELB) 的客戶應審閱下文的 "Elastic Load Balancing (ELB)",以取得其他說明。
Amazon Linux AMI 與 Amazon Linux 2 AMI
即將提供更新的 Amazon Linux AMI。我們會在 AMI 可用時更新此佈告欄。
Amazon Linux 儲存庫中即將提供更新的 Amazon Linux AMI 核心和 Amazon Linux 2 核心。對於現有 EC2 執行個體執行 Amazon Linux 的客戶,應在每個執行 Amazon Linux 的 EC2 執行個體內執行以下命令,以確保其收到更新套件:
sudo yum update kernel
如同所有 Linux 核心更新的標準做法,yum 更新完成後,需要重新啟動,更新才會生效。
您可在 Amazon Linux 安全中心將會提供更多資訊。
Elastic Load Balancing (ELB)
Network Load Balancers (NLB) 不會篩選流量。使用 NLB 的 Linux 型 EC2 執行個體需要作業系統修補程式才能減緩與這些問題相關的任何潛在 DoS 疑慮。適用於 Amazon Linux 的更新核心現已推出,且上文提供了有關更新現執行 Amazon Linux 的 EC2 執行個體的說明。未使用 Amazon Linux 的客戶應聯絡其作業系統供應商,取得任何必需的更新或說明,進而減緩任何潛在 DoS 疑慮。
使用 Elastic Load Balancing (ELB) Classic Load Balancer、Application Load Balancer 的 Linux 型 EC2 執行個體,不需要客戶採取任何動作。ELB Classic 與 ALB 可篩選傳入流量,進而減緩這些問題的任何潛在 DoS 疑慮。
Amazon WorkSpaces (Linux)
所有新的 Amazon Linux WorkSpaces 將使用更新的核心進行啟動。現有的 Amazon Linux WorkSpaces 均已安裝適用於 Amazon Linux 2 的更新核心。
如同所有 Linux 核心更新的標準做法,需要重新啟動,更新才會生效。我們建議客戶盡快手動重新啟動。否則,Amazon Linux WorkSpaces 將於 6 月 18 日凌晨 12:00 至凌晨 4:00 間自動重新啟動。
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
所有目前執行的 Amazon EKS 叢集均可免受這些問題的影響。Amazon EKS 於 2019 年 6 月 17 日發佈了更新的 EKS 最佳化 Amazon Machine Image (AMI),其中包含修補的 Amazon Linux 2 核心。您可在 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html 查看有關 EKS 最佳化 AMI 的更多資訊。
我們建議 EKS 客戶替換所有工作者節點,以便使用最新的 EKS 最佳化 AMI 版本。您可在 https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html 查看更新工作者節點的相關說明。
AWS Elastic Beanstalk
更新的 Linux 型 AWS Elastic Beanstalk 平台將會在 2019 年 6 月 17 日推出。此佈告欄會在新平台版本推出時更新。使用受管平台更新的客戶會在其選取的維護時段自動更新至最新平台版本,無須採取任何其他動作。或者,使用受管平台更新的客戶可前往「受管更新」設定頁面,並按一下「立即套用」按鈕,進而在其選取的維護時段之前獨立套用可用更新。
未啟用受管平台更新的客戶必須遵循上述說明更新其環境的平台版本。您可在 https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html 查看有關受管平台更新的更多資訊
Amazon ElastiCache
Amazon ElastiCache 會將執行 Amazon Linux 的 Amazon EC2 執行個體叢集啟動到客戶 VPC。預設情況下,其不會接受不信任的 TCP 連線,亦不會受這些問題的影響。
任何對預設 ElastiCache VPC 組態進行變更的客戶,均應將其設定為阻止來自不信任用戶端的網路流量,以減緩任何潛在 DoS 疑慮,進而確保其 ElastiCache 安全群組遵循 AWS 建議的安全最佳實務。 您可在 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html 查看有關 ElastiCache VPC 的更多資訊。
若客戶在其 VPC 外執行其 ElastiCache 叢集且對預設組態進行變更,則應使用 ElastiCache 安全群組設定信任的存取。 如需建立 ElastiCache 安全群組的詳細資訊,請參閱 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ElastiCache 團隊即將發佈可解決這些問題的新修補程式。該修補程式推出後,我們將立即通知客戶其已可套用。隨後,客戶可使用 ElastiCache 自助式更新功能更新其叢集。您可在 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html 查看有關 ElastiCache 自助式修補程式更新的更多資訊。
Amazon EMR
Amazon EMR 代表客戶將執行 Amazon Linux 的 Amazon EC2 執行個體叢集啟動到客戶的 VPC。預設情況下,這些叢集不會接受不信任的 TCP 連線,亦不會受這些問題的影響。
任何對預設 EMR VPC 組態進行變更的客戶,均應確保其 EMR 安全群組遵循 AWS 建議的安全最佳實務;阻止來自不信任的用戶端的網路流量,以減緩任何潛在 DoS 疑慮。如需 EMR 安全群組的詳細資訊,請參閱 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html。
若客戶選擇不按照 AWS 建議的安全最佳實務設定 EMR 安全群組 (或需要作業系統修補程式以符合任何其他安全政策),則可遵循以下說明更新新的或現有的 EMR 叢集,進而減緩這些問題。注意:這些更新需要重新啟動叢集執行個體並且可能影響正在執行的應用程式。除非客戶認為需要重新啟動其叢集,否則不得重新啟動:
對於新叢集,可以使用 EMR 引導操作更新 Linux 核心並重新啟動每個執行個體。您可在 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html 查看有關 EMR 引導操作的更多資訊
對於現有的叢集,可更新叢集中每個執行個體的 Linux 核心,並以滾動方式重新啟動。