發布日期:2024 年 6 月 11 日上午 10:30 (太平洋夏令時間)
AWS 發現 Amazon Elastic Compute Cloud (Amazon EC2) VM Import Export Service (VMIE) 存在一個問題。2024 年 4 月 12 日,我們解決了此問題,並且可以確認新的 Windows 作業系統匯入不受影響。
當使用 EC2 VMIE 服務匯入使用 Windows 作業系統的 VM 時,客戶可以選擇使用自己的 Sysprep 應答檔案。在 2024 年 4 月 12 日之前,EC2 VMIE 服務存在一個問題,即如果客戶使用 Windows 作業系統匯入 VM 用作 AMI 或執行個體,則將建立與應答檔案完全相同的備份複本,而不會移除檔案中的敏感資料 (如有)。只有有權存取客戶提供之應答檔案的執行個體 Windows 使用者才能存取此備份檔案。
對於以這種方式使用 EC2 VMIE 服務的客戶,建議在以下位置查找名稱以 .vmimport 結尾的檔案,此檔案與 Sysprep 關聯:
- C:\
- C:\Windows\Panther\
- C:\Windows\Panther\Unattend\
- C:\Windows\system32\
- C:\Windows\system32\sysprep\Panther\Unattend\
找到 .vmimport 檔案後,可限制為僅必要的使用者帳戶可存取,或完全移除匯入的 EC2 執行個體或從受影響之 AMI 啟動的執行個體上的備份檔案。完成上述動作中的任何一個均不會影響 EC2 執行個體的功能。由於使用受影響之 AMI 啟動的新 EC2 執行個體將存在此問題,因此建議客戶刪除受影響的 AMI 並使用 EC2 VM Import Export (VMIE) 服務建立新的 AMI 以重新匯入虛擬機器,或使用 EC2 API/主控台,從已修正的 EC2 執行個體建立新的 AMI。
對於在使用 EC2 VMIE 服務匯入 Windows 作業系統之前限縮了可存取 Sysprep 應答檔案之對象的使用者,或者在 2024 年 4 月 12 日之後使用 EC2 VMIE 服務在任何 AWS 區域中匯入帶有/不帶有 Sysprep 應答檔案之 Windows 作業系統的使用者,無需執行任何動作。
我們誠摯感謝 Immersive Labs 負責任地向 AWS 揭露此問題。
有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。