亚马逊网络服务公司(Amazon Web Services)周四发表了一篇博客文章,提供了更多细节,解释该公司为何需要在未来几天重启多达10%的云服务器,这与所谓的Shellshock漏洞没有任何关系。
+更多详情网络世界有个足球雷竞技app:亚马逊准备重启主要云服务器+
亚马逊表示,来自全球各地的弹性计算云(EC2)服务器将受到其开源Xen hypervisor的“及时安全和运营更新”的影响。这篇博文写道:
”我们用邮件解释一小部分客户受到影响,在我们的论坛,需要更新的实例需要重新启动系统的底层硬件和将不可用几分钟而补丁被应用和主机重启。”
全文可以阅读在这里.
这似乎只是一个巧合,在对开源Xen Hypervisor进行更新的同时,安全专家在Linux代码中发现了一个被称为Bash Bug的主要漏洞,一些人将其称为Shellshock。AWS管理人员说,这两起事件无关。
+更多关于弹震症:Shellshock的漏洞比Heartbleed更大,它让OS X, Linux更容易受到攻击+
亚马逊可能每天和每周都要处理很多漏洞,但云服务提供商Blue Box的创始人兼首席技术官杰西·普罗德曼(Jesse Proudman)表示,这个Xen漏洞不同,因为它影响了创建虚拟机的管理程序。正确修补系统的唯一方法是重新启动它。
AWS继续写道:
“虽然大多数软件更新不需要重新启动,但某些有限类型的更新需要重新启动。需要重新启动的实例将是交错的,这样两个区域或可用性区域就不会同时受到影响,它们将在所有保存的数据和所有自动化配置完整的情况下重新启动。大多数客户在重新启动时应该不会遇到重大问题。我们理解,对于一小部分客户来说,重新启动会更不方便;如果应用这次更新不是非常重要和紧迫的,我们不会给我们的客户带来不便。”
亚马逊表示,更新必须在10月1日之前完成,届时Xen漏洞的细节将作为Xen更新xsa - 108释放。预计到那时AWS和Xen社区将会提供更多关于正在修补的特定安全漏洞的细节。
普罗德曼怀疑问题可能与缺陷有关cve - 2014 - 7155在Xen代码中,该代码于周三首次公布。据发现,黑客可以利用该漏洞升级其特权,从而可能获得对其他虚拟机的访问权。相反,Shellshock这样的问题可以在Linux代码中打补丁,不需要重新启动机器。
Proudman说,CVE 7155自2008年3.2版发布以来就出现在Xen代码中。不过,他表示,客户不应该太担心这种情况,因为在10月1日有关安全漏洞的更多细节公布之前,亚马逊将更新所有受影响的机器。普劳德曼表示,AWS升级系统并重启客户机器的做法绝对是正确的,尽管这可能会在未来几天带来一些压力。
对客户来说,最重要的一点是,AWS实例的一部分将在未来五天的某个时间点重新启动。云咨询RightScale预计重新开始在周四晚上10点等,贯穿9月30日下午七59等。客户不一定要做什么,但他们应该准备EC2实例下几分钟,如果他们已经通知AWS。RightScale建议AWS用户测试他们的系统,以便重新启动。“这将测试许多系统的操作能力,”Proudman说。