上次更新时间:太平洋夏令时 2019 年 6 月 18 日上午 11:45
CVE 标识符:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479
这是此问题的更新信息。
Amazon Elastic Container Service (ECS)
Amazon ECS 在 2019 年 6 月 17 日和 18 日发布了经过更新的 ECS 优化型 Amazon 系统映像 (AMI),这些映像包含已修补的 Amazon Linux 和 Amazon Linux 2 内核。有关 ECS 优化型 AMI 的更多信息(包括如何获得最新版本),请参阅 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html。
我们建议 ECS 客户更新其 EC2 容器实例,以便使用最新的 ECS 优化型 AMI 版本。
Amazon GameLift
所有 Amazon GameLift 区域现已提供适用于基于 Linux 的 Amazon GameLift 实例的更新版 AMI。我们建议使用基于 Linux 的 Amazon GameLift 实例的客户创建新队列,以获取更新版 AMI。有关创建队列的更多信息,请参阅 https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html。
AWS Elastic Beanstalk
基于 Linux 的 AWS Elastic Beanstalk 平台版本现已提供更新版。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本,而无需执行任何其他操作。或者,使用托管平台更新的客户也可以在早于所选维护时段的时间独立应用可用的更新,方法是转到“Managed Updates”配置页面并单击“Apply Now”按钮。
未启用托管平台更新的客户必须按照以上说明更新其环境的平台版本。有关托管平台更新的更多信息,请参阅 https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux 和 Amazon Linux 2
Amazon Linux 存储库现已提供适用于 Amazon Linux 的更新版 Linux 内核,而且更新版 Amazon Linux AMI 现已可用。如果客户目前有运行 Amazon Linux 的 EC2 实例,则应在运行 Amazon Linux 的每个 EC2 实例中运行以下命令,以确保收到更新的包:
sudo yum update kernel
与 Linux 内核的任何更新一样,完成 yum 更新后需要重启以使更新生效。
未使用 Amazon Linux 的客户应联系其操作系统供应商,以获取缓解这些问题可能造成的任何 DoS 问题所需的任何更新或说明。有关更多信息,请访问 Amazon Linux 安全中心。
Amazon Elastic Compute Cloud (EC2)
如果客户基于 Linux 的 EC2 实例发起与互联网等不受信任方的 TCP 连接或直接接收来自它们的 TCP 连接,则需要安装操作系统补丁,以缓解这些问题可能造成的任何 DoS 问题。注意:使用 Amazon Elastic Load Balancing (ELB) 的客户应查看下面的“Elastic Load Balancing (ELB)”信息,获取更多指导。
Elastic Load Balancing (ELB)
TCP 网络负载均衡器 (NLB) 除非配置为终止 TLS 会话,否则不会筛选流量。配置为终止 TLS 会话的 NLB 不需要客户执行任何其他操作来缓解此问题。
如果基于 Linux 的 EC2 实例使用不终止 TLS 会话的 TCP NLB,则需要安装操作系统补丁,以缓解与这些问题相关的任何潜在 DoS 问题。适用于 Amazon Linux 的更新版内核现已可用,并且上面说明了如何更新当前正在运行 Amazon Linux 的 EC2 实例。未使用 Amazon Linux 的客户应联系其操作系统供应商,以获取缓解任何潜在 DoS 问题所需的任何更新或说明。
如果基于 Linux 的 EC2 实例使用 Elastic Load Balancing (ELB) Classic Load Balancer、Application Load Balancer 或终止 TLS 会话的网络负载均衡器 (TLS NLB),则不需要客户执行任何操作。ELB Classic 和 ALB 将会筛选传入的流量,以缓解这些问题可能造成的任何 DoS 问题。
Amazon WorkSpaces (Linux)
所有新的 Amazon Linux WorkSpaces 都将随更新版内核一起推出。现有的 Amazon Linux WorkSpaces 已安装适用于 Amazon Linux 2 的更新版内核。
与 Linux 内核的任何更新一样,需要重启以使更新生效。我们建议客户尽快手动重启。否则,Amazon Linux WorkSpaces 将在 6 月 18 日凌晨 12:00 到凌晨 4:00(当地时间)之间自动重启。
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
当前正在运行的所有 Amazon EKS 集群都受到保护,不会出现这些问题。Amazon EKS 在 2019 年 6 月 17 日发布了经过更新的 EKS 优化型 Amazon 系统映像 (AMI),这些映像包含已修补的 Amazon Linux 2 内核。有关 EKS 优化型 AMI 的更多信息,请参阅 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html。
我们建议 EKS 客户替换所有工作节点,以使用最新的 EKS 优化型 AMI 版本。有关更新工作节点的说明,请参阅 https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html。
Amazon ElastiCache
Amazon ElastiCache 会在客户 VPC 中启动运行 Amazon Linux 的 Amazon EC2 实例的集群。这些集群默认不接受不受信任的 TCP 连接,并且不受这些问题的影响。
如果客户更改了默认的 ElastiCache VPC 配置,则应将 ElastiCache 安全组配置为阻止来自不受信任的客户端的网络流量(以缓解任何潜在的 DoS 问题),从而确保这些安全组遵循 AWS 建议的安全最佳实践。 有关 ElastiCache VPC 配置的更多信息,请参阅 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html。
如果客户在其 VPC 外部运行 ElastiCache 集群,并且更改了默认配置,则应使用 ElastiCache 安全组配置受信任的访问。 有关创建 ElastiCache 安全组的更多信息,请参阅 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ElastiCache 团队很快将会发布用于解决这些问题的新补丁。在此补丁可用后,我们将通知客户可以应用此补丁。之后,客户可以选择使用 ElastiCache 自助式更新功能来更新集群。有关 ElastiCache 自助式补丁更新的更多信息,请参阅 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html。
Amazon EMR
Amazon EMR 会代表客户在客户的 VPC 中启动运行 Amazon Linux 的 Amazon EC2 实例的集群。这些集群默认不接受不受信任的 TCP 连接,因此不受这些问题的影响。
如果客户更改了默认的 EMR VPC 配置,则应确保 EMR 安全组遵循 AWS 建议的安全最佳实践,并且阻止来自不受信任的客户端的网络流量,以缓解任何潜在的 DoS 问题。有关 EMR 安全组的更多信息,请参阅 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html。
如果客户选择不按照 AWS 建议的安全最佳实践来配置 EMR 安全组,或者需要安装操作系统补丁来遵循任何其他安全政策,则可以按照以下说明来更新新的或现有的 EMR 集群,以缓解这些问题。注意:这些更新将需要重启集群实例,并可能影响正在运行的应用程序。客户仅应在认为有必要重启集群时才这样做:
对于新集群,使用 EMR 引导操作来更新 Linux 内核并重启每个实例。有关 EMR 引导操作的更多信息,请参阅 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
对于现有集群,以滚动方式更新集群中每个实例上的 Linux 内核,然后重启实例。