Bản cập nhật mới nhất: 18 tháng 6 năm 2019 11:45SA PDT
Mã định danh CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Đây là bản cập nhật cho sự cố này.
Amazon Elastic Container Service (ECS)
Amazon ECS đã công bố Ảnh máy Amazon (AMI) được tối ưu hóa cho ECS với nhân Amazon Linux và Amazon Linux 2 được vá vào ngày 17 và 18 tháng 6 năm 2019. Bạn có thể tìm thêm thông tin về AMI được tối ưu hóa cho ECS, bao gồm cả cách tải phiên bản mới nhất, tại https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
Chúng tôi khuyến nghị khách hàng ECS nên cập nhật phiên bản bộ chứa EC2 để sử dụng phiên bản AMI mới nhất được tối ưu hóa cho ECS.
Amazon GameLift
Đã có AMI cập nhật cho các phiên bản Amazon GameLift dựa trên Linux trong tất cả các khu vực Amazon GameLift. Chúng tôi khuyến nghị các khách hàng sử dụng phiên bản Amazon GameLift dựa trên Linux nên tạo Nhóm mới để nhận AMI cập nhật. Bạn có thể tìm thêm thông tin về cách tạo Nhóm tại https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Đã có các phiên bản cập nhật nền tảng dựa trên Linux cho AWS Elastic Beanstalk. Khách hàng sử dụng Bản cập nhật nền tảng được quản lý sẽ được tự động cập nhật lên phiên bản nền tảng mới nhất trong khoảng thời gian bảo trì đã chọn mà không cần thực hiện hành động nào khác. Ngoài ra, khách hàng sử dụng Bản cập nhật nền tảng được quản lý có thể áp dụng độc lập các bản cập nhật có sẵn sớm hơn khoảng thời gian bảo trì đã chọn bằng cách truy cập trang cấu hình Bản cập nhật được quản lý và nhấp vào nút "Áp dụng ngay".
Khách hàng không bật Bản cập nhật nền tảng được quản lý phải cập nhật phiên bản nền tảng của môi trường theo hướng dẫn ở trên. Bạn có thể tìm thêm thông tin về Bản cập nhật nền tảng được quản lý tại https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux và Amazon Linux 2
Hiện đã có nhân Linux cập nhật cho Amazon Linux trong kho lưu trữ của Amazon Linux, đồng thời, đã có thể sử dụng AMI Amazon Linux được cập nhật. Khách hàng đang có các phiên bản EC2 chạy Amazon Linux nên chạy lệnh sau trong mỗi phiên bản EC2 chạy Amazon Linux để đảm bảo gói được cập nhật:
sudo yum update kernel
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, sau khi hoàn thành bản cập nhật yum, cần khởi động lại để bản cập nhật có hiệu lực.
Khách hàng không sử dụng Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành để có bản cập nhật hoặc hướng dẫn cần thiết nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Amazon Elastic Compute Cloud (EC2)
Phiên bản EC2 dựa trên Linux của khách hàng hoặc khởi tạo hoặc trực tiếp nhận kết nối TCP đến hoặc từ các bên không tin cậy, ví dụ như Internet, cần có bản vá hệ điều hành để giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này. LƯU Ý: Khách hàng sử dụng Elastic Load Balancing (ELB) của Amazon nên xem kỹ mục "Elastic Load Balancing (ELB)" bên dưới để được hướng dẫn thêm.
Elastic Load Balancing (ELB)
Network Load Balancer (NLB) của TCP không lọc lưu lượng, trừ phi được cấu hình để chấm dứt các phiên TLS. NLB được cấu hình để chấm dứt các phiên TLS không cần khách hàng thực hiện thêm bất kỳ hành động nào để giảm thiểu sự cố này.
Phiên bản EC2 dựa trên Linux sử dụng NLB của TCP không chấm dứt các phiên TLS cần có bản vá hệ điều hành để giảm thiểu mọi lo ngại DoS tiềm ẩn liên quan đến các sự cố này. Đã có nhân cập nhật cho Amazon Linux và hướng dẫn cập nhật phiên bản EC2 hiện đang chạy Amazon Linux có ở phần trên. Khách hàng không sử dụng Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành để có bản cập nhật hoặc hướng dẫn cần thiết nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn.
Phiên bản EC2 dựa trên Linux sử dụng Cân bằng tải cổ điển, Cân bằng tải ứng dụng hoặc Cân bằng tải mạng với tính năng Dừng TLS (TLS NLB) của Elastic Load Balancing (ELB) không yêu cầu khách hàng thực hiện bất kỳ hành động nào. ELB Cổ điển và ALB sẽ lọc lưu lượng truy cập đến để giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này.
Amazon WorkSpaces (Linux)
Tất cả Amazon Linux WorkSpaces mới sẽ khởi chạy ở trạng thái đã cập nhật nhân. Nhân cập nhật cho Amazon Linux 2 đã được cài đặt sẵn cho Amazon Linux WorkSpaces hiện có.
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, cần khởi động lại để bản cập nhật có hiệu lực. Chúng tôi khuyến nghị khách hàng nên tự khởi động lại càng sớm càng tốt. Nếu không, Amazon Linux WorkSpaces sẽ tự động khởi động lại từ 0:00SA đến 4:00SA giờ địa phương vào ngày 18/6.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Tất cả các cụm Amazon EKS đang chạy đều được bảo vệ trước các sự cố này. Amazon EKS đã công bố Ảnh máy Amazon (AMI) được tối ưu hóa cho EKS với nhân Amazon Linux 2 đã vá vào ngày 17/6/2019. Bạn có thể tìm thêm thông tin về AMI được tối ưu hóa cho EKS tại https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Chúng tôi khuyến nghị khách hàng EKS nên thay thế tất cả các nút thợ để sử dụng phiên bản AMI mới nhất được tối ưu hóa cho EKS. Bạn có thể xem hướng dẫn về việc cập nhật nút thợ tại https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Amazon ElastiCache
Amazon ElastiCache khởi chạy các cụm phiên bản Amazon EC2 chạy Amazon Linux vào VPC của khách hàng. Theo mặc định, các phiên bản này không chấp nhận kết nối TCP không tin cậy và không bị ảnh hưởng bởi các sự cố này.
Mọi khách hàng đã thực hiện thay đổi cấu hình VPC ElastiCache mặc định phải đảm bảo các nhóm bảo mật ElastiCache của mình tuân theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị, bằng cách cấu hình các nhóm này để chặn lưu lượng truy cập mạng từ các máy khách không tin cậy nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn. Bạn có thể tìm thêm thông tin về cấu hình VPC ElastiCache tại https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Những khách hàng có cụm ElastiCache chạy bên ngoài VPC và đã thay đổi cấu hình mặc định nên cấu hình quyền truy cập đáng tin cậy bằng các nhóm bảo mật ElastiCache. Để biết thêm thông tin về việc tạo nhóm bảo mật ElastiCache, hãy xem https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
Đội ngũ ElastiCache sẽ sớm phát hành bản vá mới để giải quyết những sự cố này. Khi bản vá này ra mắt, chúng tôi sẽ thông báo cho khách hàng rằng bản vá đã có thể áp dụng. Sau đó, khách hàng có lựa chọn cập nhật cho các cụm tính năng tự cập nhật của ElastiCache. Bạn có thể tìm thêm thông tin về việc tự cập nhật bản vá của ElastiCache tại https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR thay mặt khách hàng khởi chạy các cụm phiên bản Amazon EC2 chạy Amazon Linux vào VPC của khách hàng. Theo mặc định, các cụm này không chấp nhận kết nối TCP không tin cậy, do đó không bị ảnh hưởng bởi các sự cố này.
Mọi khách hàng đã thực hiện thay đổi cấu hình VPC EMR mặc định phải đảm bảo các nhóm bảo mật EMR của mình tuân theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị, chặn lưu lượng truy cập mạng từ các máy khách không tin cậy nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn. Xem https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html để biết thêm thông tin về các nhóm bảo mật EMR.
Những khách hàng chọn không cấu hình nhóm bảo mật EMR theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị (hoặc những khách hàng cần có bản vá hệ điều hành để đáp ứng bất kỳ chính sách bảo mật bổ sung nào) có thể làm theo hướng dẫn bên dưới để cập nhật các cụm EMR mới hoặc hiện có để giảm thiểu các sự cố này. LƯU Ý: Việc cập nhật sẽ yêu cầu khởi động lại các phiên bản cụm và có thể ảnh hưởng đến các ứng dụng đang chạy. Khách hàng không nên khởi động lại cụm cho đến khi cho rằng cần thiết:
Đối với cụm mới, hãy sử dụng biện pháp “mồi” (bootstrap) EMR để cập nhật nhân Linux và khởi động lại từng phiên bản. Bạn có thể tìm thêm thông tin về biện pháp “mồi” (bootstrap) EMR tại https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Đối với các cụm hiện có, hãy cập nhật nhân Linux trên từng phiên bản trong cụm và khởi động lại cụm theo kiểu “cuốn chiếu”.