WiseN

[긴급] 신규 CPU 취약점 관련 패치 안내 (ver.180115)

Jan 04,2018   |   AWS

작성자_최준승

페이스북 공유하기 트위터 공유하기
Blog thumbnail

※ 최초작성: `18.1.4 / 1차 수정: `18.1.5 / 2차 수정: `18.1.8 / 3차 수정: `18.1.15

안녕하십니까, GS네오텍입니다.

최근 CPU 설계상 일부 취약점이 발표되었고(CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
현재 Intel, AMD, ARM 제품별로 패치 대상과 관련 영향도를 파악하고 있는 중입니다.

관련하여 AWS에서는 아래 공지를 발표하였습니다.
Processor Speculative Execution Research Disclosure

요약하면
1) 알려진 취약점에서 비롯된 보안 위협이나 눈에 띄는 성능 저하는 확인되지 않았지만
2) Intel Microcode 업데이트로 일부 인스턴스에 문제가 발생할 수 있으며
3) 특정 취약점 관련하여 AWS 서비스별로 사용자 패치가 일부 필요하다는 내용입니다

사용자 작업이 필요한 AWS 서비스는 다음과 같습니다.
■ Amazon EC2
■ Amazon Elastic Beanstalk
■ Amazon Elastic Container Service
■ Amazon Elastic MapReduce
■ Amazon Lightsail
■ AWS Batch

Amazon EC2


● 공통: PV 계열 인스턴스는 HVM 계열 인스턴스로 변경 권고
● Amazon Linux: sudo yum update kernel 명령어로 업데이트 (패치가 2차례에 걸쳐 나왔으므로 반드시 Latest 버전으로 업데이트)
● Windows
- 2008R2, 2012R2, 2016은 패치 버전의 AMI 제공 중
- 기존 인스턴스 패치는 "Automatic Updates"를 활성화 시킨 후 패치, 또는 패치를 수동으로 다운 받아 실행
● 기타 OS 각 벤더별 가이드 참고: Windows / RHEL / SUSE Linux / Ubuntu

Elastic Beanstalk


● 신규 객체 생성시 업데이트가 반영된 버전으로 배포 (Linux/Windows 공통)

EMR


● 신규 클러스터 생성시 관련 업데이트 반영되어 있지 않음 (추후 패치 예정)
● 신규 클러스터 생성하는 경우: Bootstrap action을 통해 별도 업데이트 및 Reboot 동작 구현 필요
● 기존 클러스터 사용자: 인스턴스별로 단계적으로 수동 패치하고 재시작 (과정에서 현재 동작하는 어플리케이션 영향도 파악 필요)

RDS


● 기본적으로 관리형 서비스인 RDS는 사용자가 접근 가능한 영역이 제한되어 있으므로, 관련 취약점이 이슈가 되지 않음
● MySQL, MariaDB, Aurora(MySQL-compatible), Oracle: 사용자 작업 불필요
● PostgreSQL, Aurora(PostgreSQL-compatible)
- 기본 환경설정의 사용자는 별도 작업 불필요
- plv8 extensions을 활성화한 사용자의 경우 별도 패치 제공 예정 LINK
● SQL Server: 패치 제공 예정 LINK

WorkSpaces


● Windows 7 on Server 2008R2 사용자: 해당 LINK 참조
● Windows 10 on Server 2016 사용자: 별도 사용자 동작 불필요

세부적인 내용은 AWS 공지를 참조하시기 바라며, 내용이 추가되는대로 업데이트 하겠습니다.

감사합니다.