涉及:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新时间:2018 年 3 月 5 日下午 3:00(太平洋标准时间)
这是对此问题的更新。
Amazon Linux 存储库中提供了适用于 Amazon Linux 的更新内核。在 2018 年 1 月 13 日或之后使用默认 Amazon Linux 配置启动的 EC2 实例将自动包含更新的软件包,该软件包提供了最新的、稳定的开源 Linux 安全改进,以解决内核中的 CVE-2017-5715 问题,并建立在之前包含的解决 CVE-2017-5754 问题的内核页表隔离 (KPTI) 之上。 客户必须升级到最新的 Amazon Linux 内核或 AMI,以在他们的实例中有效缓解 CVE-2017-5715 的进程到进程问题和 CVE-2017-5754 的进程到内核问题。有关更多信息,请参阅处理器推测执行 – 操作系统更新。
请参阅下文中有关半虚拟化 (PV) 实例的“PV 实例指南”信息。
Amazon EC2
Amazon EC2 队列中的所有实例都受到保护,不会受到 CVE-2017-5715、CVE-2017-5753 和 CVE-2017-5754 的所有已知实例到实例问题的影响。实例到实例问题假设非受信相邻实例可以读取其他实例或 AWS 管理程序的内存。AWS 管理程序已解决此问题,并且任何实例都无法读取其他实例的内存,也无法读取 AWS 管理程序内存。如前所述,对于绝大多数 EC2 工作负载,我们尚未发现有意义的性能影响。
截至到 2018 年 1 月 12 日,我们已在 AWS 平台上对部分新的 Intel CPU 微代码完成了停用操作,我们在这些平台上发现了由 Intel 微代码更新引起的少量崩溃和其他无法预测的行为。此更改为这些少数实例缓解了此类问题。
适用于 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 的建议客户操作
尽管如上所述,所有客户实例都已受到保护,但我们仍建议客户修补其实例操作系统,以解决此问题的进程到进程或进程到内核问题。有关适用于 Amazon Linux 和 Amazon Linux 2、CentOS、Debian、Fedora、Microsoft Windows、Red Hat、SUSE 以及 Ubuntu 的更多指导和说明信息,请参阅处理器推测执行 – 操作系统更新。
PV 实例指南
经过对这一问题可用的操作系统补丁进行深入研究和详细分析之后,我们确定操作系统保护不足以解决半虚拟化 (PV) 实例中的进程到进程问题。尽管如上所述,AWS 管理程序会保护 PV 实例免受任何实例到实例问题的影响,但是强烈建议那些注重 PV 实例内进程隔离(例如,处理不可信数据、运行不可信代码、托管不可信用户)的客户迁移到 HVM 实例类型,以获得更长期的安全优势。
有关 PV 和 HVM 之间的差异(以及实例升级路径文档)的更多信息,请参阅:
https://docs.thinkwithwp.com/AWSEC2/latest/UserGuide/virtualization_types.html
如果您在任何 PV 实例的升级途径方面需要帮助,请与支持部门联系。
其他 AWS 服务更新
以下需要修补代表客户托管的 EC2 实例的服务已完成所有工作,无需客户采取任何操作:
- Fargate
- Lambda
除非下文另有说明,否则所有其他 AWS 服务都无需客户采取操作。
ECS Optimized AMI
我们已经发布了 Amazon ECS Optimized AMI 版本 2017.09.g,其中包含针对此问题的所有 Amazon Linux 保护。我们建议所有 Amazon ECS 客户升级到此最新版本(可从 AWS Marketplace 获得)。
选择就地更新现有 ECS Optimized AMI 实例的客户应运行以下命令,以确保收到更新的软件包:
sudo yum update kernel
与 Linux 内核的任何更新一样,完成 yum 更新后,需要重启才能使更新生效。
我们建议不使用 ECS 优化型 AMI 的 Linux 客户咨询任何备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux AMI 安全中心。
我们已经发布了 Amazon ECS Optimized Windows AMI 版本 2018.01.10。有关如何将补丁应用于正在运行的实例的详细信息,请参阅处理器推测执行 – 操作系统更新。
Elastic Beanstalk
我们已经更新所有基于 Linux 的平台,以包括针对此问题的所有 Amazon Linux 保护措施。有关具体的平台版本,请参阅版本注释。我们建议 Elastic Beanstalk 客户将其环境更新为最新的可用平台版本。使用托管更新的环境将在配置的维护时段自动更新。
基于 Windows 的平台也已更新,以包括针对此问题的所有 EC2 Windows 保护措施。建议客户将其基于 Windows 的 Elastic Beanstalk 环境更新为最新的可用平台配置。
ElastiCache
ElastiCache 托管的客户缓存节点每个都用于仅为单个客户运行缓存引擎,没有其他客户可访问的进程,并且客户无法在基础实例上运行代码。由于 AWS 已经完成了对所有基础设施底层 ElastiCache 的保护,因此,此问题的进程到内核或进程到进程问题不会给客户带来风险。ElastiCache 支持的两个缓存引擎目前都报告没有已知的进程内问题。
EMR
Amazon EMR 会代表客户在客户的账户中启动运行 Amazon Linux 的 Amazon EC2 实例的集群。关注 Amazon EMR 集群实例中的进程隔离的客户应按照上述建议升级到最新的 Amazon Linux 内核。我们已将最新的 Amazon Linux 内核整合到新的次要版本 5.11.1、5.8.1、5.5.1 和 4.9.3 中。客户可以使用这些版本创建新的 Amazon EMR 集群。
对于当前的 Amazon EMR 版本以及客户可能拥有的任何关联的运行实例,我们建议按照上述建议更新到最新的 Amazon Linux 内核。对于新集群,客户可以使用引导操作来更新 Linux 内核并重新启动每个实例。对于正在运行的集群,客户可以通过滚动方式轻松更新集群内每个实例的 Linux 内核并针对每个实例重新进行启动。请注意,重新启动某些进程可能会影响集群中正在运行的应用程序。
RDS
RDS 托管的客户数据库实例每个都用于仅为单个客户运行数据库引擎,没有其他客户可访问的进程,并且客户也无法在基础实例上运行代码。由于 AWS 已对所有基础设施底层 RDS 实施保护,因此此问题的进程到内核或进程到进程问题不会给客户带来风险。RDS 支持的大多数数据库引擎目前都报告没有已知的进程内问题。下面是其他特定于数据库引擎的详细信息,除非另有说明,否则客户无需采取任何操作。
对于用于 SQL Server 数据库实例的 RDS,我们发布了操作系统和引擎补丁,其中包含以下引擎版本的 Microsoft 补丁:
SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)
客户应查看 Microsoft 有关应用这些修补程序的指南,并在选择的时间应用它们:
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
对于 RDS PostgreSQL 和 Aurora PostgreSQL,以默认配置运行的数据库实例目前不需要客户执行任何操作。如果补丁可用,我们将为 plv8 扩展用户提供适用的补丁。同时,启用了 plv8 扩展(默认情况下已禁用)的客户应考虑禁用这些扩展,并查看 V8 指南((https://github.com/v8/v8/wiki/Untrusted-code-mitigations)。
目前,RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 数据库实例都不需要客户执行任何操作。
VMware Cloud on AWS
VMware 称,“自 2017 年 12 月初开始,VMSA-2018-0002 中记录的修复都已保存在 VMware Cloud on AWS 中。”
有关更多详细信息,请参阅 VMware 安全性与合规性博客;有关更新状态,请访问 https://status.vmware-services.io。
WorkSpaces
对于在 Windows Server 2008 R2 上运行 Windows 7 体验的客户:
Microsoft 针对此问题发布了适用于 Windows Server 2008 R2 的全新安全更新。如要成功交付这些更新,需要在服务器上运行兼容的防病毒软件,如 Microsoft 的安全更新所述:https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software。WorkSpaces 客户需要采取措施来获取这些更新。请按照 Microsoft 提供的说明进行操作:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
对于在 Windows Server 2016 上运行 Windows 10 体验的客户:
AWS 已将安全更新应用于在 Windows Server 2016 上运行 Windows 10 体验的 WorkSpaces。Windows 10 内置了与这些安全更新兼容的 Windows Defender 防病毒软件。客户无需执行进一步操作。
对于 BYOL 和已更改默认更新设置的客户:
请注意,使用 WorkSpaces 自有许可 (BYOL) 功能的客户以及已更改 WorkSpaces 中默认更新设置的客户应手动应用 Microsoft 提供的安全更新。如果这适用于您,请按照以下 Microsoft 安全公告提供的说明进行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。该安全公告包括 Windows Server 和 Client 操作系统的知识库文章链接,这些文章提供了更加具体的信息。
更新的 WorkSpaces 捆绑包将很快随安全更新一起提供。如果客户已创建自定义捆绑包,则应该自行更新其捆绑包,以包括安全更新。从不包含更新的捆绑包启动的任何新 WorkSpaces 都会在启动后立即收到补丁,除非客户在 WorkSpaces 中更改了默认更新设置或安装了不兼容的防病毒软件;在这种情况下,他们应按照上述步骤手动应用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我们建议客户选择以下任一操作:
选项 1:按照 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 上提供的步骤,在运行的 WAM Packager 和 Validator 实例上手动应用 Microsoft 更新。该页面提供了进一步的说明和相关下载。
选项 2:终止现有 Packager 和 Validator 实例。使用已更新且标记为“Amazon WAM Admin Studio 1.5.1”和“Amazon WAM Admin Player 1.5.1”的 AMI 启动新实例。