Bạn đang xem phiên bản cũ của bản tin bảo mật này. Để xem phiên bản gần đây nhất, vui lòng truy cập: "Công bố nghiên cứu về thực thi suy đoán của bộ xử lý".
Liên quan đến: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Cập nhật vào: 17/1/2018 12:00 CH PST
Đây là bản cập nhật cho sự cố này.
Đã có nhân cập nhật dành cho Amazon Linux trong các kho lưu trữ Amazon Linux. Các phiên bản EC2 được khởi chạy với cấu hình Amazon Linux mặc định vào hoặc sau ngày 13/1/2018 sẽ tự động bao gồm gói đã cập nhật. Gói này tích hợp các cải tiến bảo mật ổn định mới nhất dành cho Linux mã nguồn mở để giải quyết sự cố CVE-2017-5715 trong nhân và được xây dựng dựa trên Kernel Page Table Isolation (KPTI) từng được tích hợp và giải quyết được sự cố CVE-2017-5754. Khách hàng phải nâng cấp lên nhân hoặc AMI Amazon Linux mới nhất để giảm thiểu một cách có hiệu quả mối lo ngại giữa các tiến trình trong CVE-2017-5715 hoặc mối lo ngại giữa tiến trình và nhân trong CVE-2017-5754 ở các phiên bản của họ. Hãy xem “Thực thi suy đoán của bộ xử lý – Bản cập nhật dành cho hệ điều hành” để biết thêm thông tin.
Vui lòng xem thêm thông tin trong “Hướng dẫn về phiên bản PV” ở bên dưới liên quan đến phiên bản được ảo hóa song song (PV).
Amazon EC2
Tất cả các phiên bản trên nhóm Amazon EC2 đều được bảo vệ khỏi mọi mối lo ngại giữa các phiên bản đã biết trong CVE-2017-5715, CVE-2017-5753 và CVE-2017-5754. Mối lo ngại giữa các phiên bản giả định rằng phiên bản không đáng tin cậy lân cận có thể đọc bộ nhớ của một phiên bản khác hoặc hypervisor AWS. Sự cố này đã được giải quyết đối với hypervisor AWS và không phiên bản nào có thể đọc bộ nhớ của phiên bản khác hay bộ nhớ của hypervisor AWS. Như đã nêu trước đây, chúng tôi không nhận thấy tác động hiệu năng có ý nghĩa đối với phần lớn khối lượng công việc EC2.
Chúng tôi đã xác định được một số ít sự cố phiên bản và ứng dụng do các bản cập nhật vi mã Intel gây ra và đang làm việc trực tiếp với các khách hàng bị ảnh hưởng. Chúng tôi vừa hoàn thành việc hủy kích hoạt các phần vi mã CPU Intel mới cho các nền tảng trong AWS gặp phải những sự cố này. Có vẻ như việc này đã giảm nhẹ sự cố cho những phiên bản này. Tất cả phiên bản trên nhóm Amazon EC2 vẫn được bảo vệ khỏi mọi đối tượng đe dọa trung gian đã biết. Vi mã Intel bị vô hiệu hóa này cung cấp các biện pháp bảo vệ bổ sung chống lại các đối tượng đe dọa trung gian lý thuyết từ sự cố CVE-2017-5715. Chúng tôi hy vọng có thể kích hoạt lại các biện pháp bảo vệ bổ sung này (cùng với một số biện pháp tối ưu hóa hiệu suất bổ sung mà chúng tôi đã và đang thực hiện) trong tương lai gần sau khi Intel cung cấp vi mã cập nhật.
Hành động khách hàng nên thực hiện cho AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce và Amazon Lightsail
Mặc dù tất cả các phiên bản của khách hàng đều được bảo vệ như mô tả ở trên, khách hàng cũng nên vá các hệ điều hành phiên bản của mình để giải quyết mối lo ngại giữa các tiến trình hoặc giữa tiến trình và nhân trong sự cố này. Vui lòng xem “Thực thi suy đoán của bộ xử lý – Bản cập nhật dành cho hệ điều hành” để biết thêm hướng dẫn dành cho Amazon Linux & Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE và Ubuntu.
Hướng dẫn về phiên bản PV
Sau khi nghiên cứu liên tục và phân tích chi tiết các bản vá hệ điều hành có sẵn cho sự cố này, chúng tôi đã xác định rằng các biện pháp bảo vệ hệ điều hành là không đủ để giải quyết các mối lo ngại giữa các tiến trình trong phiên bản được ảo hóa song song (PV). Mặc dù các phiên bản PV được hypervisor AWS bảo vệ trước mọi mối lo ngại giữa các phiên bản như mô tả ở trên, chúng tôi vẫn rất khuyến khích những khách hàng lo ngại về sự cô lập tiến trình trong các phiên bản PV của họ (ví dụ: xử lý dữ liệu không đáng tin cậy, chạy mã không tin cậy, lưu trữ người dùng không đáng tin cậy) di chuyển sang các loại phiên bản HVM vì lợi ích bảo mật dài hạn.
Để biết thêm thông tin về sự khác biệt giữa PV và HVM (cũng như tài liệu về lộ trình nâng cấp phiên bản), vui lòng xem:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Vui lòng liên hệ với bộ phận Hỗ trợ nếu bạn cần hỗ trợ về lộ trình nâng cấp cho mọi phiên bản PV.
Bản cập nhật cho các dịch vụ AWS khác
Các dịch vụ sau đây yêu cầu vá các phiên bản EC2 được quản lý thay mặt cho khách hàng, đã hoàn thành tất cả công việc và không yêu cầu hành động nào từ phía khách hàng:
- Fargate
- Lambda
Trừ khi được thảo luận bên dưới, tất cả các dịch vụ AWS khác đều không yêu cầu hành động từ phía khách hàng.
AMI được tối ưu hóa cho ECS
Chúng tôi đã phát hành AMI được tối ưu hóa cho Amazon ECS phiên bản 2017.09.f tích hợp tất cả biện pháp bảo vệ của Amazon Linux cho sự cố này, bao gồm cả bản cập nhật nhân Amazon Linux thứ hai được đề cập ở trên. Tất cả khách hàng Amazon ECS nên nâng cấp lên phiên bản mới nhất này, đã có trong AWS Marketplace. Chúng tôi sẽ tiếp tục kết hợp các cải tiến của Amazon Linux khi chúng ra mắt.
Khi chọn cập nhật tại chỗ các phiên bản AMI hiện có được tối ưu hóa cho ECS, khách hàng nên chạy lệnh sau để đảm bảo nhận được gói cập nhật:
sudo yum update kernel
Như một tiêu chuẩn cho mọi bản cập nhật nhân Linux, sau khi hoàn thành bản cập nhật yum, cần khởi động lại để bản cập nhật có hiệu lực.
Khách hàng Linux không sử dụng AMI được tối ưu hóa cho ECS nên tham khảo ý kiến của nhà cung cấp hệ điều hành, phần mềm hoặc AMI thay thế/của bên thứ ba để nhận được các bản cập nhật và hướng dẫn khi cần. Hướng dẫn về Amazon Linux có sẵn tại Trung tâm bảo mật Amazon Linux AMI.
Chúng tôi đã phát hành Windows AMI được tối ưu hóa cho Amazon ECS phiên bản 2018.01.10. Để biết chi tiết về cách áp dụng bản vá cho các phiên bản đang hoạt động, hãy xem "Thực thi suy đoán của bộ xử lý – Bản cập nhật dành cho hệ điều hành".
Elastic Beanstalk
Chúng tôi đã cập nhật tất cả nền tảng dựa trên Linux để đưa vào mọi biện pháp bảo vệ của Amazon Linux cho sự cố này. Hãy xem ghi chú phát hành cho các phiên bản nền tảng cụ thể. Khách hàng Elastic Beanstalk nên cập nhật môi trường của mình lên phiên bản nền tảng có sẵn mới nhất. Các môi trường sử dụng Cập nhật được quản lý sẽ tự động cập nhật trong suốt khung thời gian bảo trì đã đặt cấu hình.
Các nền tảng trên Windows cũng đã được cập nhật để bao gồm mọi biện pháp bảo vệ của EC2 Windows cho sự cố này. Khách hàng nên cập nhật môi trường Elastic Beanstalk trên Windows của mình lên cấu hình nền tảng có sẵn mới nhất.
ElastiCache
Mỗi nút bộ nhớ đệm của khách hàng do ElastiCache quản lý chỉ dành riêng để chạy một công cụ bộ nhớ đệm cho một khách hàng, không có các tiến trình khác có thể truy cập từ phía khách hàng và không cho phép khách hàng chạy mã trên phiên bản cơ bản. Vì AWS đã hoàn thành việc bảo vệ toàn bộ hạ tầng làm nền tảng cho ElastiCache nên các mối lo ngại giữa tiến trình và nhân hoặc giữa các tiến trình trong sự cố này sẽ không đem lại rủi ro cho khách hàng. Tại thời điểm này, cả hai công cụ bộ nhớ đệm mà ElastiCache hỗ trợ đều không cho thấy bất kỳ mối lo ngại trong tiến trình đã biết nào.
EMR
Amazon EMR thay mặt khách hàng khởi chạy cụm phiên bản Amazon EC2 chạy Amazon Linux vào tài khoản của khách hàng. Khách hàng lo ngại về sự cô lập tiến trình trong các phiên bản cụm Amazon EMR của mình nên nâng cấp lên nhân Amazon Linux mới nhất như được khuyến nghị ở trên. Chúng tôi đang trong quá trình tích hợp nhân Amazon Linux mới nhất vào một bản phát hành nhỏ mới trên nhánh 5.11.x và nhánh 4.9.x. Khách hàng sẽ có thể tạo cụm Amazon EMR mới bằng các bản phát hành này. Chúng tôi sẽ cập nhật bản tin này khi các bản phát hành này ra mắt.
Đối với các bản phát hành Amazon EMR hiện tại và mọi phiên bản đang hoạt động liên quan mà khách hàng có thể có, khách hàng nên cập nhật lên nhân Amazon Linux mới nhất như được khuyến nghị ở trên. Đối với cụm mới, khách hàng có thể sử dụng thao tác bootstrap để cập nhật nhân Linux và khởi động lại từng phiên bản. Đối với các cụm đang hoạt động, khách hàng có thể tạo điều kiện để thực hiện cập nhật nhân Linux và khởi động lại mỗi phiên bản trong cụm của mình theo kiểu cuốn chiếu. Xin lưu ý rằng việc khởi động lại một số tiến trình có thể ảnh hưởng đến các ứng dụng đang hoạt động trong cụm.
RDS
Mỗi phiên bản cơ sở dữ liệu của khách hàng do RDS quản lý chỉ dành riêng để chạy một công cụ cơ sở dữ liệu cho một khách hàng, không có các tiến trình khác có thể truy cập từ phía khách hàng và không cho phép khách hàng chạy mã trên phiên bản cơ bản. Vì AWS đã hoàn thành việc bảo vệ toàn bộ hạ tầng làm nền tảng cho RDS nên các mối lo ngại giữa tiến trình và nhân hoặc giữa các tiến trình trong sự cố này sẽ không đem lại rủi ro cho khách hàng. Tại thời điểm này, hầu hết các công cụ cơ sở dữ liệu mà RDS hỗ trợ đều không cho thấy bất kỳ mối lo ngại trong tiến trình đã biết nào. Thông tin chi tiết bổ sung cho công cụ cơ sở dữ liệu cụ thể được nêu bên dưới, và trừ khi có ghi chú khác, khách hàng không cần thực hiện hành động gì.
Đối với RDS cho Phiên bản cơ sở dữ liệu SQL Server, chúng tôi sẽ phát hành các bản vá hệ điều hành và công cụ cơ sở dữ liệu khi Microsoft cung cấp, cho phép khách hàng nâng cấp tại thời điểm họ chọn. Chúng tôi sẽ cập nhật bản tin này khi một trong hai bản vá được hoàn thiện. Trong khi chờ đợi, khách hàng đã bật CLR (bị tắt theo mặc định) nên xem lại hướng dẫn của Microsoft về việc tắt phần mở rộng CLR tại https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
Đối với RDS PostgreSQL và Aurora PostgreSQL, hiện khách hàng không cần thực hiện hành động gì với Phiên bản cơ sở dữ liệu hoạt động trong cấu hình mặc định. Chúng tôi sẽ cung cấp các bản vá thích hợp cho người dùng của phần mở rộng plv8 khi các bản vá này ra mắt. Trong khi chờ đợi, khách hàng đã bật phần mở rộng plv8 (bị tắt theo mặc định) nên xem xét tắt các phần mở rộng này và xem lại hướng dẫn về V8 tại https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Các phiên bản cơ sở dữ liệu RDS for MariaDB, RDS for MySQL, Aurora MySQL và RDS for Oracle hiện không yêu cầu hành động từ phía khách hàng.
VMware Cloud on AWS
Theo VMware, “Hành động khắc phục như được nêu trong VMSA-2018-0002 đã có mặt trong VMware Cloud on AWS từ đầu tháng 12 năm 2017”.
Vui lòng tham khảo Blog Bảo mật & Tuân thủ của VMware để biết thêm chi tiết và https://status.vmware-services.io để biết trạng thái mới nhất.
WorkSpaces
Đối với khách hàng sử dụng trải nghiệm Windows 7 trên Windows Server 2008 R2:
Microsoft đã phát hành các bản cập nhật bảo mật mới cho Windows Server 2008 R2 để khắc phục sự cố này. Để phân phối thành công các bản cập nhật này, khách hàng cần có phần mềm Chống virus tương thích chạy trên máy chủ như được nêu trong bản cập nhật bảo mật của Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Khách hàng WorkSpaces cần phải hành động để nhận được các bản cập nhật này. Vui lòng làm theo hướng dẫn do Microsoft cung cấp tại: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Đối với khách hàng sử dụng trải nghiệm Windows 10 trên Windows Server 2016:
AWS đã áp dụng bản cập nhật bảo mật cho WorkSpaces chạy trải nghiệm Windows 10 trên Windows Server 2016. Windows 10 có tích hợp phần mềm Chống virus của Bộ bảo vệ Windows tương thích với các bản cập nhật bảo mật này. Khách hàng sẽ không phải thực hiện thêm hành động nào.
Đối với tính năng BYOL và khách hàng đã chỉnh sửa cài đặt cập nhật mặc định:
Xin lưu ý rằng khách hàng sử dụng tính năng Sử dụng giấy phép riêng (BYOL) của WorkSpaces và khách hàng đã thay đổi cài đặt cập nhật mặc định trong WorkSpaces nên áp dụng thủ công các bản cập nhật bảo mật do Microsoft cung cấp. Nếu bạn nằm trong trường hợp này, vui lòng làm theo hướng dẫn trong tư vấn bảo mật của Microsoft tại: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Nội dung tư vấn bảo mật gồm liên kết đến các bài viết trong cơ sở kiến thức dành cho cả hệ điều hành Windows Server và Máy khách. Các bài viết này sẽ cung cấp thông tin cụ thể hơn.
Gói WorkSpaces cập nhật chứa các bản cập nhật bảo mật sẽ sớm ra mắt. Khách hàng đã tạo Gói tùy chỉnh nên tự cập nhật gói của mình để đưa các bản cập nhật bảo mật vào. Mọi WorkSpaces mới được khởi chạy từ các gói không có bản cập nhật sẽ sớm nhận được bản vá sau khi khởi chạy, trừ khi khách hàng đã thay đổi cài đặt cập nhật mặc định trong WorkSpace của họ, hoặc đã cài đặt phần mềm chống virus không tương thích. Trong trường hợp đó, họ phải làm theo các bước trên để áp dụng thủ công các bản cập nhật bảo mật do Microsoft cung cấp.
WorkSpaces Application Manager (WAM)
Khách hàng nên chọn một trong các kế hoạch hành động sau:
Lựa chọn 1: Áp dụng thủ công các bản cập nhật của Microsoft trên các phiên bản Trình tạo gói và Trình xác nhận WAM đang hoạt động bằng cách làm theo các bước do Microsoft cung cấp tại https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Trang này cung cấp thêm hướng dẫn và nội dung tải xuống có liên quan.
Lựa chọn 2: Kết thúc các phiên bản Trình tạo gói và Trình xác nhận hiện có của bạn. Khởi chạy phiên bản mới bằng các AMI đã cập nhật có nhãn "Amazon WAM Admin Studio 1.5.1" và "Amazon WAM Admin Player 1.5.1".