Cập nhật lần cuối: 17/6/2019 14:15 CH PDT
Mã định danh CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Đây là bản cập nhật cho sự cố này.
Đã có bản cập nhật nhân Linux cho Amazon Linux trong kho lưu trữ của Amazon Linux và bản cập nhật Amazon Linux AMI hiện đã có thể sử dụng. Khách hàng đang có các phiên bản EC2 chạy Amazon Linux nên chạy lệnh sau trong mỗi phiên bản EC2 chạy Amazon Linux để đảm bảo nhận được gói đã cập nhật:
nhân cập nhật sudo yum
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, sau khi hoàn thành bản cập nhật yum, bạn cần khởi động lại để bản cập nhật có hiệu lực.
Khách hàng không sử dụng Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành để nhận bản cập nhật hoặc hướng dẫn cần thiết nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Amazon Elastic Compute Cloud (EC2)
Phiên bản EC2 dựa trên Linux của khách hàng đang khởi tạo hoặc trực tiếp nhận kết nối TCP đến hoặc từ các bên không tin cậy, chẳng hạn như Internet, cần có các bản vá lỗi hệ điều hành để giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này. LƯU Ý: Khách hàng sử dụng Elastic Load Balancing (ELB) của Amazon nên xem lại mục "Elastic Load Balancing (ELB)" bên dưới để được hướng dẫn thêm.
Elastic Load Balancing (ELB)
Network Load Balancer (NLB) của TCP không lọc lưu lượng truy cập, trừ phi được cấu hình để chấm dứt các phiên TLS. NLB được cấu hình để chấm dứt các phiên TLS không cần khách hàng thực hiện thêm bất kỳ hành động nào để giảm thiểu sự cố này.
Phiên bản EC2 dựa trên Linux sử dụng NLB của TCP không chấm dứt các phiên TLS cần có bản vá lỗi hệ điều hành để giảm thiểu mọi lo ngại DoS tiềm ẩn liên quan đến các sự cố này. Hiện đã có nhân cập nhật cho Amazon Linux và hướng dẫn cập nhật phiên bản EC2 hiện đang chạy Amazon Linux đã được cung cấp ở trên. Khách hàng không sử dụng Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành để nhận bản cập nhật hoặc hướng dẫn cần thiết nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn.
Phiên bản EC2 dựa trên Linux sử dụng Cân bằng tải cổ điển, Cân bằng tải ứng dụng hoặc Cân bằng tải mạng với tính năng Dừng TLS (TLS NLB) của Elastic Load Balancing (ELB) không yêu cầu khách hàng thực hiện bất kỳ hành động nào. ELB Cổ điển và ALB sẽ lọc lưu lượng truy cập đến để giảm thiểu mọi lo ngại DoS tiềm ẩn về các sự cố này.
Amazon WorkSpaces (Linux)
Tất cả Amazon Linux WorkSpaces mới sẽ được khởi chạy với nhân cập nhật. Nhân cập nhật cho Amazon Linux 2 đã được cài đặt cho Amazon Linux WorkSpaces hiện có.
Theo tiêu chuẩn cho mọi bản cập nhật nhân Linux, bạn cần khởi động lại để bản cập nhật có hiệu lực. Chúng tôi khuyến nghị khách hàng nên khởi động lại bằng cách thủ công sớm nhất có thể. Nếu không, Amazon Linux WorkSpaces sẽ tự động khởi động lại trong khoảng 12:00 SA đến 4:00 SA theo giờ địa phương vào ngày 18/6.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Tất cả các cụm Amazon EKS hiện đang chạy đều được bảo vệ khỏi các sự cố này. Amazon EKS đã phát hành bản cập nhật Ảnh máy Amazon (AMI) được tối ưu hóa cho EKS với nhân Amazon Linux 2 được vá lỗi vào ngày 17/6/2019. Bạn có thể tìm thêm thông tin về AMI được tối ưu hóa cho EKS tại https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Chúng tôi khuyến nghị khách hàng của EKS nên thay thế tất cả các nút thợ để sử dụng phiên bản AMI mới nhất được tối ưu hóa cho EKS. Bạn có thể xem hướng dẫn về việc cập nhật nút thợ tại https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
Bản cập nhật nền tảng dựa trên Linux cho AWS Elastic Beanstalk sẽ ra mắt vào ngày 17/6/2019. Bản tin này sẽ được cập nhật khi có các phiên bản nền tảng mới. Khách hàng sử dụng Bản cập nhật nền tảng được quản lý sẽ được tự động cập nhật lên phiên bản nền tảng mới nhất trong khoảng thời gian bảo trì đã chọn mà không cần thực hiện hành động nào khác. Ngoài ra, khách hàng sử dụng Bản cập nhật nền tảng được quản lý có thể áp dụng độc lập các bản cập nhật có sẵn sớm hơn khoảng thời gian bảo trì đã chọn bằng cách truy cập trang cấu hình Bản cập nhật được quản lý và nhấp vào nút "Áp dụng ngay".
Khách hàng không bật Bản cập nhật nền tảng được quản lý phải cập nhật phiên bản nền tảng của môi trường bằng cách làm theo các hướng dẫn ở trên. Bạn có thể tìm thêm thông tin về Bản cập nhật nền tảng được quản lý tại https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache khởi chạy các cụm phiên bản Amazon EC2 chạy Amazon Linux vào VPC của khách hàng. Theo mặc định, các phiên bản này không chấp nhận kết nối TCP không tin cậy và không bị ảnh hưởng bởi các sự cố này.
Bất kỳ khách hàng nào đã thực hiện thay đổi cấu hình VPC ElastiCache mặc định phải đảm bảo các nhóm bảo mật ElastiCache của mình tuân theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị, bằng cách cấu hình các nhóm này để chặn lưu lượng truy cập mạng từ các máy khách không tin cậy nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn. Bạn có thể tìm thêm thông tin về cấu hình VPC ElastiCache tại https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Những khách hàng có cụm ElastiCache chạy bên ngoài VPC và đã thay đổi cấu hình mặc định nên cấu hình quyền truy cập đáng tin cậy bằng các nhóm bảo mật ElastiCache. Để biết thêm thông tin về việc tạo nhóm bảo mật ElastiCache, hãy truy cập https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
Đội ngũ ElastiCache sẽ sớm phát hành một bản vá lỗi mới để giải quyết các sự cố này. Khi bản vá lỗi này ra mắt, chúng tôi sẽ thông báo cho khách hàng bản vá lỗi đã sẵn sàng để áp dụng. Sau đó, khách hàng có thể chọn cập nhật cụm với tính năng tự cập nhật của ElastiCache. Bạn có thể tìm thêm thông tin về việc tự cập nhật bản vá lỗi của ElastiCache tại https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR thay mặt khách hàng khởi chạy cụm các phiên bản Amazon EC2 chạy Amazon Linux vào VPC của khách hàng. Theo mặc định, các cụm này không chấp nhận kết nối TCP không tin cậy và do đó không bị ảnh hưởng bởi các sự cố này.
Bất kỳ khách hàng nào đã thực hiện thay đổi cấu hình VPC EMR mặc định phải đảm bảo các nhóm bảo mật EMR của mình tuân theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị; chặn lưu lượng truy cập mạng từ các máy khách không tin cậy nhằm giảm thiểu mọi lo ngại DoS tiềm ẩn. Truy cập https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html để biết thêm thông tin về các nhóm bảo mật EMR.
Những khách hàng chọn không cấu hình nhóm bảo mật EMR theo các biện pháp bảo mật tốt nhất được AWS khuyến nghị (hoặc những khách hàng cần có bản vá lỗi hệ điều hành để đáp ứng bất kỳ chính sách bảo mật bổ sung nào), có thể làm theo hướng dẫn bên dưới để cập nhật các cụm EMR mới hoặc hiện có để giảm thiểu các sự cố này. LƯU Ý: Những cập nhật này sẽ yêu cầu khởi động lại các phiên bản cụm và có thể ảnh hưởng đến các ứng dụng đang chạy. Khách hàng không cần khởi động lại cụm cho đến khi thấy cần phải khởi động lại:
Đối với cụm mới, hãy sử dụng biện pháp “mồi” (bootstrap) EMR để cập nhật nhân Linux và khởi động lại từng phiên bản. Bạn có thể tìm thêm thông tin về biện pháp “mồi” (bootstrap) EMR tại https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Đối với các cụm hiện có, hãy cập nhật nhân Linux trên từng phiên bản trong cụm và khởi động lại cụm theo kiểu cuốn chiếu.