Bạn đang xem phiên bản cũ của bản tin bảo mật này. Để xem phiên bản mới nhất, vui lòng truy cập: "Công bố nghiên cứu về thực thi suy đoán của bộ xử lý".
Liên quan đến: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Cập nhật ngày: 11/1/2018 11:30 PST
Đây là thông tin cập nhật cho sự cố này.
Bản phát hành nhân thứ hai cho Amazon Linux đã được cung cấp, giải quyết các lỗi KPTI và cải thiện các biện pháp giảm thiểu cho CVE-2017-5754. Khách hàng phải nâng cấp lên nhân hoặc AMI Amazon Linux mới nhất để giảm thiểu một cách hiệu quả các mối lo ngại giữa các tiến trình về CVE-2017-5754 trong phiên bản. Hãy xem thêm thông tin về “AMI Amazon Linux” bên dưới.
Vui lòng xem thêm thông tin trong “Hướng dẫn về phiên bản PV” ở bên dưới liên quan đến phiên bản được ảo hóa song song (PV).
Amazon EC2
Tất cả phiên bản trên nhóm Amazon EC2 đều được bảo vệ khỏi mọi mối lo ngại đã biết giữa các phiên bản của các CVE được liệt kê ở trên. Mối lo ngại giữa các phiên bản giả định rằng một phiên bản không đáng tin cậy ở lân cận có thể đọc bộ nhớ của một phiên bản khác hoặc hypervisor AWS. Sự cố này đã được giải quyết cho hypervisor AWS và không phiên bản nào có thể đọc bộ nhớ của phiên bản khác hay bộ nhớ của hypervisor AWS. Chúng tôi không quan sát thấy tác động đáng kể về hiệu năng đối với phần lớn khối lượng công việc khổng lồ của EC2.
Hành động khách hàng nên thực hiện cho AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce và Amazon Lightsail
Mặc dù tất cả các phiên bản của khách hàng đều được bảo vệ như mô tả bên trên, chúng tôi khuyên khách hàng nên vá hệ điều hành phiên bản để cô lập phần mềm chạy trong cùng một phiên bản và giảm thiểu mối lo ngại giữa các tiến trình về CVE-2017-5754. Để biết thêm chi tiết, hãy tham khảo hướng dẫn của từng nhà cung cấp về tính khả dụng và việc triển khai bản vá.
Hướng dẫn của từng nhà cung cấp:
- Amazon Linux – Xem thêm chi tiết bên dưới.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Đối với các hệ điều hành không được liệt kê, khách hàng nên tham khảo ý kiến của nhà cung cấp hệ điều hành hoặc AMI để nhận được các bản cập nhật và hướng dẫn.
Hướng dẫn về phiên bản PV
Sau khi nghiên cứu liên tục và phân tích chi tiết các bản vá hệ điều hành có sẵn cho sự cố này, chúng tôi đã xác định rằng các biện pháp bảo vệ hệ điều hành là không đủ để giải quyết các mối lo ngại giữa các tiến trình trong phiên bản được ảo hóa song song (PV). Mặc dù các phiên bản PV được hypervisor AWS bảo vệ trước mọi mối lo ngại giữa các phiên bản như mô tả ở trên, chúng tôi vẫn hết sức khuyến khích những khách hàng lo ngại về việc cô lập tiến trình trong các phiên bản PV (ví dụ: xử lý dữ liệu không đáng tin cậy, chạy mã không đáng tin cậy, lưu trữ người dùng không đáng tin cậy) di chuyển sang các loại phiên bản HVM vì lợi ích bảo mật dài hạn.
Để biết thêm thông tin về sự khác biệt giữa PV và HVM (cũng như tài liệu về lộ trình nâng cấp phiên bản), vui lòng xem:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Vui lòng liên hệ với bộ phận Hỗ trợ nếu bạn cần được trợ giúp về lộ trình nâng cấp cho mọi phiên bản PV.
Bản cập nhật cho các dịch vụ AWS khác
Các dịch vụ sau đây yêu cầu vá các phiên bản EC2 được quản lý thay mặt khách hàng đã hoàn thành tất cả công việc và khách hàng không cần thực hiện hành động nào:
- Fargate
- Lambda
Trừ khi có thông báo khác ở bên dưới, tất cả các dịch vụ AWS khác đều không yêu cầu hành động từ phía khách hàng.
AMI Amazon Linux (ID bản tin: ALAS-2018-939)
Đã có nhân cập nhật dành cho Amazon Linux trong các kho lưu trữ Amazon Linux. Các phiên bản EC2 được khởi chạy với cấu hình Amazon Linux mặc định vào đúng hoặc sau ngày 8/1/2018 sẽ tự động bao gồm gói đã cập nhật. Gói này giải quyết các lỗi KPTI và cải thiện các biện pháp giảm thiểu cho CVE-2017-5754.
LƯU Ý: Khách hàng phải nâng cấp lên nhân hoặc AMI Amazon Linux mới nhất để giảm thiểu một cách hiệu quả CVE-2017-5754 trong phiên bản. Chúng tôi sẽ tiếp tục cung cấp các nội dung cải tiến Amazon Linux và AMI Amazon Linux cập nhật; kết hợp những đóng góp của cộng đồng Linux nguồn mở ngay khi có nhằm giải quyết sự cố này.
Khách hàng đang có các phiên bản AMI Amazon Linux cần chạy lệnh sau để đảm bảo nhận được gói cập nhật:
nhân cập nhật yum sudo
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, sau khi cập nhật yum xong, bạn cần khởi động lại để bản cập nhật có hiệu lực.
Bạn có thể tìm thêm thông tin về bản tin này tại Trung tâm bảo mật AMI Amazon Linux.
Đối với Amazon Linux 2, vui lòng làm theo hướng dẫn dành cho Amazon Linux được mô tả bên trên.
EC2 Windows
Chúng tôi đã cập nhật AMI Windows của AWS. Giờ đây khách hàng có thể sử dụng các bản cập nhật này, đồng thời AMI Windows của AWS đã cài đặt bản vá cần thiết cũng như bật khóa đăng ký.
Microsoft đã cung cấp bản vá Windows cho Server 2008R2, 2012R2 và 2016. Các bản vá hiện có sẵn thông qua Windows Update Service tích hợp cho Server 2016. Chúng tôi đang chờ thông tin của Microsoft về tính khả dụng của bản vá dành cho Server 2003, 2008SP2 và 2012RTM.
Khách hàng AWS chạy phiên bản Windows trên EC2 đã bật "Cập nhật tự động" cần chạy tính năng cập nhật tự động để tải xuống và cài đặt bản cập nhật cần thiết cho Windows khi có sẵn.
Hãy lưu ý rằng các bản vá Server 2008R2 và 2012R2 hiện không có sẵn thông qua Windows Update yêu cầu tải xuống thủ công. Trước đó, Microsoft đã thông báo rằng sẽ cung cấp các bản vá này vào Thứ Ba ngày 9/1, tuy nhiên chúng tôi vẫn đang chờ thông tin về tính khả dụng.
Khách hàng AWS chạy phiên bản Windows trên EC2 không bật “Cập nhật tự động” cần cài đặt thủ công bản cập nhật cần thiết khi có theo hướng dẫn tại đây: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Hãy lưu ý rằng đối với Windows Server, Microsoft yêu cầu thực hiện thêm các bước để bật tính năng bảo vệ của bản cập nhật cho sự cố này theo mô tả tại đây: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI được tối ưu hóa cho ECS
Chúng tôi đã phát hành AMI được tối ưu hóa cho Amazon ECS phiên bản 2017.09.f tích hợp tất cả biện pháp bảo vệ của Amazon Linux cho sự cố này, bao gồm cả bản cập nhật nhân Amazon Linux thứ hai được đề cập ở trên. Chúng tôi khuyên tất cả khách hàng Amazon ECS nên nâng cấp lên phiên bản mới nhất này, đã có trong AWS Marketplace. Chúng tôi sẽ tiếp tục kết hợp các nội dung cải tiến của Amazon Linux khi những nội dung này ra mắt.
Khi chọn cập nhật tại chỗ các phiên bản AMI hiện có được tối ưu hóa cho ECS, khách hàng cần chạy lệnh sau để đảm bảo nhận được gói cập nhật:
nhân cập nhật yum sudo
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, sau khi cập nhật yum xong, bạn cần khởi động lại để bản cập nhật có hiệu lực.
Khách hàng Linux không sử dụng AMI được tối ưu hóa cho ECS nên tham khảo ý kiến của nhà cung cấp hệ điều hành, phần mềm hoặc AMI thay thế / của bên thứ ba để nhận được các bản cập nhật và hướng dẫn khi cần. Hướng dẫn về Amazon Linux có tại Trung tâm bảo mật AMI Amazon Linux.
Chúng tôi đang cập nhật AMI Windows được tối ưu hóa cho Amazon ECS và sẽ cập nhật bản tin này khi AMI đó có sẵn. Microsoft đã cung cấp bản vá Windows cho Server 2016. Để biết chi tiết về cách áp dụng bản vá cho các phiên bản đang hoạt động, hãy xem https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Chúng tôi đã cập nhật tất cả nền tảng dựa trên Linux để đưa vào mọi biện pháp bảo vệ của Amazon Linux cho sự cố này. Hãy xem ghi chú phát hành của các phiên bản nền tảng cụ thể. Khách hàng Elastic Beanstalk nên cập nhật môi trường của mình lên phiên bản nền tảng có sẵn mới nhất. Các môi trường sử dụng tính năng Cập nhật được quản lý sẽ tự động cập nhật trong khoảng thời gian bảo trì đã cấu hình.
Đội ngũ Elastic Beanstalk sẽ tiếp tục xử lý các bản cập nhật nền tảng Windows. Những bản cập nhật này sẽ ra mắt trong vòng 12 giờ tới. Khách hàng Elastic Beanstalk sử dụng các nền tảng dựa trên Windows cần cài đặt thủ công các bản cập nhật bảo mật có sẵn theo hướng dẫn trong phần “EC2 Windows” ở phần trên của bản tin này.
EMR
Amazon EMR thay mặt khách hàng khởi chạy cụm phiên bản Amazon EC2 chạy Amazon Linux vào tài khoản của khách hàng. Khách hàng lo ngại về sự cô lập tiến trình trong các phiên bản cụm Amazon EMR của mình nên nâng cấp lên nhân Amazon Linux mới nhất như được khuyến nghị ở trên. Chúng tôi đang trong quá trình tích hợp nhân Amazon Linux mới nhất vào một bản phát hành nhỏ mới trên nhánh 5.11.x và nhánh 4.9.x. Khách hàng sẽ có thể tạo cụm Amazon EMR mới bằng các bản phát hành này. Chúng tôi sẽ cập nhật bản tin này khi các bản phát hành này ra mắt.
Đối với các bản phát hành Amazon EMR hiện tại và mọi phiên bản đang hoạt động có liên quan mà khách hàng có thể đang dùng, khách hàng nên cập nhật lên nhân Amazon Linux mới nhất như được khuyến nghị ở trên. Đối với cụm mới, khách hàng có thể sử dụng biện pháp “mồi” (bootstrap) để cập nhật nhân Linux và khởi động lại từng phiên bản. Đối với các cụm đang hoạt động, khách hàng có thể tạo điều kiện để cập nhật nhân Linux và khởi động lại mỗi phiên bản trong cụm của mình theo kiểu cuốn chiếu. Hãy lưu ý rằng việc khởi động lại một số tiến trình có thể ảnh hưởng đến các ứng dụng đang hoạt động trong cụm.
RDS
Mỗi phiên bản cơ sở dữ liệu của khách hàng do RDS quản lý chỉ dành riêng cho việc chạy một công cụ cơ sở dữ liệu cho một khách hàng, không có các tiến trình khác có thể truy cập từ phía khách hàng và không cho phép khách hàng chạy mã trên phiên bản cơ bản. Vì AWS đã hoàn thành việc bảo vệ toàn bộ hạ tầng làm nền tảng cho RDS nên các mối lo ngại giữa tiến trình và nhân hoặc giữa các tiến trình trong sự cố này sẽ không đem lại rủi ro cho khách hàng. Hầu hết các công cụ cơ sở dữ liệu mà RDS hỗ trợ đã báo cáo rằng không có mối lo ngại nào đã biết trong tiến trình tại thời điểm này. Thông tin chi tiết bổ sung cho công cụ cơ sở dữ liệu cụ thể được nêu bên dưới, và trừ khi có ghi chú khác, khách hàng không cần thực hiện hành động gì. Chúng tôi sẽ cập nhật bản tin này khi có thêm thông tin.
Đối với phiên bản cơ sở dữ liệu RDS for SQL Server, chúng tôi sẽ phát hành các bản vá hệ điều hành và công cụ cơ sở dữ liệu khi Microsoft cung cấp, cho phép khách hàng nâng cấp tại thời điểm họ chọn. Chúng tôi sẽ cập nhật bản tin này khi một trong hai bản vá được hoàn thiện. Trong khi chờ đợi, khách hàng đã bật CLR (bị tắt theo mặc định) nên xem lại hướng dẫn của Microsoft về việc tắt tiện ích mở rộng CLR tại https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
Đối với RDS PostgreSQL và Aurora PostgreSQL, Phiên bản CSDL hoạt động trên cấu hình mặc định hiện không yêu cầu khách hàng thực hiện hành động gì. Chúng tôi sẽ cung cấp các bản vá thích hợp cho người dùng tiện ích mở rộng plv8 khi các bản vá này ra mắt. Trong khi chờ đợi, khách hàng đã bật tiện ích mở rộng plv8 (bị tắt theo mặc định) nên xem xét việc tắt các tiện ích này và xem lại hướng dẫn của V8 tại https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Các phiên bản cơ sở dữ liệu RDS for MariaDB, RDS for MySQL, Aurora MySQL và RDS for Oracle hiện không yêu cầu khách hàng thực hiện hành động gì.
VMware Cloud on AWS
Theo VMware, “Hành động khắc phục như được nêu trong VMSA-2018-0002 đã có trong VMware Cloud on AWS từ đầu tháng 12 năm 2017”.
Vui lòng tham khảo Blog Bảo mật & tuân thủ của VMware để biết thêm chi tiết và https://status.vmware-services.io để biết trạng thái cập nhật.
WorkSpaces
AWS sẽ áp dụng các bản cập nhật bảo mật do Microsoft phát hành cho hầu hết AWS WorkSpaces vào cuối tuần tới. WorkSpaces của khách hàng sẽ khởi động lại trong giai đoạn này.
Khách hàng Sử dụng giấy phép riêng (BYOL) và khách hàng đã thay đổi tùy chọn cài đặt cập nhật mặc định trong WorkSpaces cần áp dụng thủ công các bản cập nhật bảo mật do Microsoft cung cấp.
Vui lòng làm theo hướng dẫn trong bản tư vấn bảo mật của Microsoft tại https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Bản tư vấn bảo mật chứa liên kết đến các bài viết trong cơ sở kiến thức dành cho cả hệ điều hành Windows Server và Máy khách. Các bài viết này sẽ cung cấp thêm thông tin cụ thể.
Gói WorkSpaces đã cập nhật sẽ sớm có bản cập nhật bảo mật. Khách hàng đã tạo Gói tùy chỉnh nên cập nhật gói của mình để tự đưa các bản cập nhật bảo mật vào. Mọi WorkSpaces mới được khởi chạy từ các gói không có bản cập nhật bảo mật sẽ sớm nhận được bản vá sau khi khởi chạy. Trong trường hợp khách hàng đã thay đổi tùy chọn cài đặt cập nhật mặc định trong WorkSpaces, họ phải làm theo các bước trên để áp dụng thủ công các bản cập nhật bảo mật do Microsoft cung cấp.
WorkSpaces Application Manager (WAM)
Khách hàng nên chọn một trong các phương án hành động sau:
Lựa chọn 1: Áp dụng thủ công các bản vá của Microsoft trên các phiên bản Trình tạo gói và Trình xác nhận WAM đang hoạt động theo các bước do Microsoft cung cấp tại https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Trang này cung cấp thêm hướng dẫn và nội dung tải xuống cho Windows Server.
Lựa chọn 2: Xây dựng lại phiên bản EC2 của Trình tạo gói và Trình xác nhận WAM mới từ các AMI cập nhật cho Trình tạo gói và Trình xác nhận WAM sẽ có vào cuối ngày (4/1/2018).