亚马逊网络服务公司(Amazon Web Services)周四发布了一篇博客文章,提供了该公司需要在未来几天重启至多10%云服务器的更多细节,这篇文章与所谓的Shellshock漏洞没有任何关系。
+更多详情网络世界足球竞猜app软件:Amazon准备重新启动主要的云服务器+
亚马逊表示,来自全球的弹性计算云(EC2)服务器将受到其与开源Xen hypervisor相关的“及时的安全和操作更新”的影响。这篇博文写道:
”我们用邮件解释一小部分客户受到影响,在我们的论坛,需要更新的实例需要重新启动系统的底层硬件和将不可用几分钟而补丁被应用和主机重启。”
完整的博客文章可以阅读在这里。
就在对开源Xen Hypervisor进行更新的同时,安全专家发现了Linux代码中的一个主要漏洞,称为Bash Bug,有些人称之为Shellshock,这似乎只是一个巧合。AWS管理人士说,这两件事无关。
+更多关于弹震症:Shellshock漏洞比Heartbleed更大,使得OS X, Linux更容易受到攻击+
Amazon可能每天和每周都要处理很多漏洞,但是云提供商Blue Box的创始人和CTO Jesse Proudman说这个Xen漏洞是不同的,因为它影响创建虚拟机的管理程序。正确地修补系统的唯一方法是重新启动它。
AWS继续写道:
“虽然没有重启应用最软件更新,某些有限类型的更新需要重新启动。需要重新启动实例将被错开,以便没有两个区域或可用性区域同时受到影响,他们将与所有保存的数据全部自动配置完整重启。大多数客户体验应该与重启没有显著的问题。据我们了解,客户的一小部分重新启动会更不方便;我们也不会感到不便我们的客户,如果不是重要的,时间关键应用此更新“。
亚马逊说,必须更新10月1日,当Xen的漏洞的细节公开发表的部分之前完成Xen更新xsa - 108释放。预计到那时AWS和Xen社区将会有更多关于正在修补的特定安全漏洞的细节。
Proudman怀疑这个问题可能与缺陷有关CVE-2014-7155Xen代码是在周三首次发布的。我们发现,黑客可以利用这个漏洞升级其特权,允许黑客收集对其他虚拟机的潜在访问权限。相反,像Shellshock这样的问题可以在Linux代码中修补,并且不需要重新启动计算机。
Proudman说CVE 7155从2008年的3.2版本开始就在Xen代码中了。不过,他也表示,客户不必太担心这种情况,因为在10月1日有关安全漏洞的更多细节公布之前,亚马逊将对所有受影响的机器进行更新。Proudman说,AWS更新系统和重启客户机器绝对是正确的做法,即使这可能在未来几天造成一些压力。
对客户来说,最重要的是AWS实例的一个子集将在未来五天的某个时间点重新启动。云咨询RightScale预计重新开始在周四晚上10点等,贯穿9月30日下午七59等。客户不一定要做什么,但他们应该准备EC2实例下几分钟,如果他们已经通知AWS。RightScale建议AWS用户测试他们的系统以重新启动。“它将测试许多系统的操作能力,”Proudman说。