Bạn đang xem một phiên bản trước đó của bản tin bảo mật này. Để xem phiên bản mới nhất, vui lòng truy cập: “Sự cố từ chối dịch vụ TCP SACK nhân Linux”.
17/6/2019 10:00 SA PDT
Mã định danh CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
AWS đã biết về ba sự cố được tiết lộ gần đây gây ảnh hưởng đến hệ thống xử lý con TCP của nhân Linux. Cụ thể, máy khách hoặc máy chủ TCP độc hại có thể truyền một loạt các gói được chế tạo đặc biệt có khả năng khiến nhân Linux của bất cứ hệ thống kết nối mục tiêu nào hỏng hóc và phải khởi động lại.
Các hệ thống và cơ sở hạ tầng cơ bản của AWS được bảo vệ khỏi các sự cố này. Khách hàng không cần thực hiện hành động nào để giảm thiểu mọi lo ngại từ chối dịch vụ (DoS) tiềm ẩn liên quan đến các sự cố này, ngoại trừ các dịch vụ AWS được liệt kê dưới đây.
Amazon Elastic Compute Cloud (EC2)
Phiên bản EC2 dựa trên Linux của khách hàng đang khởi tạo hoặc trực tiếp nhận kết nối TCP đến hoặc từ các bên không tin cậy, chẳng hạn như Internet, cần có các bản vá lỗi hệ điều hành để giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này. LƯU Ý: Khách hàng sử dụng Elastic Load Balancing (ELB) của Amazon nên xem lại mục "Elastic Load Balancing (ELB)" bên dưới để được hướng dẫn thêm.
Amazon Linux AMI và Amazon Linux 2 AMI
Bản cập nhật của Amazon Linux AMI sẽ sớm ra mắt. Chúng tôi sẽ cập nhật bản tin này khi có bản cập nhật AMI.
Nhân cập nhật cho Amazon Linux AMI và Amazon Linux 2 sẽ ngay lập tức có sẵn trong kho lưu trữ Amazon Linux. Khách hàng đang có các phiên bản EC2 chạy Amazon Linux nên chạy lệnh sau trong mỗi phiên bản EC2 chạy Amazon Linux để đảm bảo nhận được gói đã cập nhật:
nhân cập nhật sudo yum
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, sau khi hoàn thành bản cập nhật yum, bạn cần khởi động lại để bản cập nhật có hiệu lực.
Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Elastic Load Balancing (ELB)
Network Load Balancers (NLB) không lọc lưu lượng truy cập. Phiên bản EC2 dựa trên Linux sử dụng NLB cần có bản vá lỗi hệ điều hành để giảm thiểu mọi lo ngại DoS tiềm ẩn liên quan đến các sự cố này. Hiện đã có nhân cập nhật cho Amazon Linux và hướng dẫn cập nhật phiên bản EC2 hiện đang chạy Amazon Linux đã được cung cấp ở trên. Khách hàng không sử dụng Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành để nhận bản cập nhật hoặc hướng dẫn cần thiết nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn.
Phiên bản EC2 dựa trên Linux sử dụng Elastic Load Balancing (ELB) Cân bằng tải cổ điển và Cân bằng tải ứng dụng không cần khách hàng thực hiện bất kỳ hành động nào. ELB Cổ điển và ALB sẽ lọc lưu lượng truy cập đến để giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này.
Amazon WorkSpaces (Linux)
Tất cả Amazon Linux WorkSpaces mới sẽ được khởi chạy với nhân cập nhật. Nhân cập nhật cho Amazon Linux 2 đã được cài đặt cho Amazon Linux WorkSpaces hiện có.
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, bạn cần khởi động lại để bản cập nhật có hiệu lực. Chúng tôi khuyến nghị khách hàng nên khởi động lại bằng cách thủ công sớm nhất có thể. Nếu không, Amazon Linux WorkSpaces sẽ tự động khởi động lại trong khoảng 12:00 SA đến 4:00 SA theo giờ địa phương vào ngày 18/6.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Tất cả các cụm Amazon EKS hiện đang chạy đều được bảo vệ khỏi các sự cố này. Amazon EKS đã phát hành bản cập nhật Ảnh máy Amazon (AMI) được tối ưu hóa cho EKS với nhân Amazon Linux 2 được vá lỗi vào ngày 17/6/2019. Bạn có thể tìm thêm thông tin về AMI được tối ưu hóa cho EKS tại https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Chúng tôi khuyến nghị khách hàng của EKS nên thay thế tất cả các nút thợ để sử dụng phiên bản AMI mới nhất được tối ưu hóa cho EKS. Bạn có thể xem hướng dẫn về việc cập nhật nút thợ tại https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
Bản cập nhật nền tảng dựa trên Linux cho AWS Elastic Beanstalk sẽ ra mắt vào ngày 17/6/2019. Bản tin này sẽ được cập nhật khi có các phiên bản nền tảng mới. Khách hàng sử dụng Bản cập nhật nền tảng được quản lý sẽ được tự động cập nhật lên phiên bản nền tảng mới nhất trong khoảng thời gian bảo trì đã chọn mà không cần thực hiện hành động nào khác. Ngoài ra, khách hàng sử dụng Bản cập nhật nền tảng được quản lý có thể áp dụng độc lập các bản cập nhật có sẵn sớm hơn khoảng thời gian bảo trì đã chọn bằng cách truy cập trang cấu hình Bản cập nhật được quản lý và nhấp vào nút "Áp dụng ngay".
Khách hàng không bật Bản cập nhật nền tảng được quản lý phải cập nhật phiên bản nền tảng của môi trường bằng cách làm theo các hướng dẫn ở trên. Bạn có thể tìm thêm thông tin về Bản cập nhật nền tảng được quản lý tại https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache khởi chạy các cụm phiên bản Amazon EC2 chạy Amazon Linux vào VPC của khách hàng. Theo mặc định, các phiên bản này không chấp nhận kết nối TCP không tin cậy và không bị ảnh hưởng bởi các sự cố này.
Bất kỳ khách hàng nào đã thực hiện thay đổi cấu hình VPC ElastiCache mặc định phải đảm bảo các nhóm bảo mật ElastiCache của mình tuân theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị, bằng cách cấu hình các nhóm này để chặn lưu lượng truy cập mạng từ các máy khách không tin cậy nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn. Bạn có thể tìm thêm thông tin về cấu hình VPC ElastiCache tại https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Những khách hàng có cụm ElastiCache chạy bên ngoài VPC và đã thay đổi cấu hình mặc định nên cấu hình quyền truy cập đáng tin cậy bằng các nhóm bảo mật ElastiCache. Để biết thêm thông tin về việc tạo nhóm bảo mật ElastiCache, hãy truy cập https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
Đội ngũ ElastiCache sẽ sớm phát hành một bản vá lỗi mới để giải quyết các sự cố này. Khi bản vá lỗi này ra mắt, chúng tôi sẽ thông báo cho khách hàng bản vá lỗi đã sẵn sàng để áp dụng. Sau đó, khách hàng có thể chọn cập nhật cụm với tính năng tự cập nhật của ElastiCache. Bạn có thể tìm thêm thông tin về việc tự cập nhật bản vá lỗi của ElastiCache tại https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR thay mặt khách hàng khởi chạy cụm các phiên bản Amazon EC2 chạy Amazon Linux vào VPC của khách hàng. Theo mặc định, các cụm này không chấp nhận kết nối TCP không tin cậy và do đó không bị ảnh hưởng bởi các sự cố này.
Bất kỳ khách hàng nào đã thực hiện thay đổi cấu hình VPC EMR mặc định phải đảm bảo các nhóm bảo mật EMR của mình tuân theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị; chặn lưu lượng truy cập mạng từ các máy khách không tin cậy nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn. Truy cập https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html để biết thêm thông tin về các nhóm bảo mật EMR.
Những khách hàng chọn không cấu hình nhóm bảo mật EMR theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị (hoặc những khách hàng cần có bản vá lỗi hệ điều hành để đáp ứng bất kỳ chính sách bảo mật bổ sung nào), có thể làm theo hướng dẫn bên dưới để cập nhật các cụm EMR mới hoặc hiện có để giảm thiểu các sự cố này. LƯU Ý: Những cập nhật này sẽ yêu cầu khởi động lại các phiên bản cụm và có thể ảnh hưởng đến các ứng dụng đang chạy. Khách hàng không cần khởi động lại cụm cho đến khi thấy cần phải khởi động lại:
Đối với cụm mới, hãy sử dụng biện pháp “mồi” (bootstrap) EMR để cập nhật nhân Linux và khởi động lại từng phiên bản. Bạn có thể tìm thêm thông tin về biện pháp “mồi” (bootstrap) EMR tại https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Đối với các cụm hiện có, hãy cập nhật nhân Linux trên từng phiên bản trong cụm và khởi động lại cụm theo kiểu cuốn chiếu.