上次更新時間：太平洋夏令時 2019 年 6 月 18 日上午 11:45

CVE 標識符：CVE-2019-11477、CVE-2019-11478、CVE-2019-11479

這是此問題的更新信息。

Amazon Elastic Container Service (ECS)

Amazon ECS 在 2019 年 6 月 17 日和 18 日發布了經過更新的 ECS 優化型 Amazon 系統映像 (AMI)，這些映像包含已修補的 Amazon Linux 和 Amazon Linux 2 內核。有關 ECS 優化型 AMI 的更多信息(包括如何獲得最新版本)，請參閱 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html。

我們建議 ECS 客戶更新其 EC2 容器實例，以便使用最新的 ECS 優化型 AMI 版本。

Amazon GameLift

所有 Amazon GameLift 區域現已提供適用于基于 Linux 的 Amazon GameLift 實例的更新版 AMI。我們建議使用基于 Linux 的 Amazon GameLift 實例的客戶創建新隊列，以獲取更新版 AMI。有關創建隊列的更多信息，請參閱 https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html。

AWS Elastic Beanstalk

基于 Linux 的 AWS Elastic Beanstalk 平臺版本現已提供更新版。使用托管平臺更新的客戶將在其所選的維護時段內自動更新到最新平臺版本，而無需執行任何其他操作。或者，使用托管平臺更新的客戶也可以在早于所選維護時段的時間獨立應用可用的更新，方法是轉到“Managed Updates”配置頁面并單擊“Apply Now”按鈕。

Amazon Linux 和 Amazon Linux 2

Amazon Linux 存儲庫現已提供適用于 Amazon Linux 的更新版 Linux 內核，而且更新版 Amazon Linux AMI 現已可用。如果客戶目前有運行 Amazon Linux 的 EC2 實例，則應在運行 Amazon Linux 的每個 EC2 實例中運行以下命令，以確保收到更新的包：

sudo yum update kernel

與 Linux 內核的任何更新一樣，完成 yum 更新后需要重啟以使更新生效。

未使用 Amazon Linux 的客戶應聯系其操作系統供應商，以獲取緩解這些問題可能造成的任何 DoS 問題所需的任何更新或說明。有關更多信息，請訪問 Amazon Linux 安全中心。

Amazon Elastic Compute Cloud (EC2)

如果客戶基于 Linux 的 EC2 實例發起與互聯網等不受信任方的 TCP 連接或直接接收來自它們的 TCP 連接，則需要安裝操作系統補丁，以緩解這些問題可能造成的任何 DoS 問題。注意：使用 Amazon Elastic Load Balancing (ELB) 的客戶應查看下面的“Elastic Load Balancing (ELB)”信息，獲取更多指導。

Elastic Load Balancing (ELB)

TCP 網絡負載均衡器 (NLB) 除非配置為終止 TLS 會話，否則不會篩選流量。配置為終止 TLS 會話的 NLB 不需要客戶執行任何其他操作來緩解此問題。

如果基于 Linux 的 EC2 實例使用不終止 TLS 會話的 TCP NLB，則需要安裝操作系統補丁，以緩解與這些問題相關的任何潛在 DoS 問題。適用于 Amazon Linux 的更新版內核現已可用，并且上面說明了如何更新當前正在運行 Amazon Linux 的 EC2 實例。未使用 Amazon Linux 的客戶應聯系其操作系統供應商，以獲取緩解任何潛在 DoS 問題所需的任何更新或說明。

如果基于 Linux 的 EC2 實例使用 Elastic Load Balancing (ELB) Classic Load Balancer、Application Load Balancer 或終止 TLS 會話的網絡負載均衡器 (TLS NLB)，則不需要客戶執行任何操作。ELB Classic 和 ALB 將會篩選傳入的流量，以緩解這些問題可能造成的任何 DoS 問題。

Amazon WorkSpaces (Linux)

所有新的 Amazon Linux WorkSpaces 都將隨更新版內核一起推出。現有的 Amazon Linux WorkSpaces 已安裝適用于 Amazon Linux 2 的更新版內核。

與 Linux 內核的任何更新一樣，需要重啟以使更新生效。我們建議客戶盡快手動重啟。否則，Amazon Linux WorkSpaces 將在 6 月 18 日凌晨 12:00 到凌晨 4:00(當地時間)之間自動重啟。

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

當前正在運行的所有 Amazon EKS 集群都受到保護，不會出現這些問題。Amazon EKS 在 2019 年 6 月 17 日發布了經過更新的 EKS 優化型 Amazon 系統映像 (AMI)，這些映像包含已修補的 Amazon Linux 2 內核。有關 EKS 優化型 AMI 的更多信息，請參閱 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html。

Amazon ElastiCache

Amazon ElastiCache 會在客戶 VPC 中啟動運行 Amazon Linux 的 Amazon EC2 實例的集群。這些集群默認不接受不受信任的 TCP 連接，并且不受這些問題的影響。

如果客戶更改了默認的 ElastiCache VPC 配置，則應將 ElastiCache 安全組配置為阻止來自不受信任的客戶端的網絡流量(以緩解任何潛在的 DoS 問題)，從而確保這些安全組遵循 AWS 建議的安全最佳實踐。?有關 ElastiCache VPC 配置的更多信息，請參閱 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html。

如果客戶在其 VPC 外部運行 ElastiCache 集群，并且更改了默認配置，則應使用 ElastiCache 安全組配置受信任的訪問。?有關創建 ElastiCache 安全組的更多信息，請參閱 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html

ElastiCache 團隊很快將會發布用于解決這些問題的新補丁。在此補丁可用后，我們將通知客戶可以應用此補丁。之后，客戶可以選擇使用 ElastiCache 自助式更新功能來更新集群。有關 ElastiCache 自助式補丁更新的更多信息，請參閱 https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html。

Amazon EMR

Amazon EMR 會代表客戶在客戶的 VPC 中啟動運行 Amazon Linux 的 Amazon EC2 實例的集群。這些集群默認不接受不受信任的 TCP 連接，因此不受這些問題的影響。

如果客戶更改了默認的 EMR VPC 配置，則應確保 EMR 安全組遵循 AWS 建議的安全最佳實踐，并且阻止來自不受信任的客戶端的網絡流量，以緩解任何潛在的 DoS 問題。有關 EMR 安全組的更多信息，請參閱 https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html。

如果客戶選擇不按照 AWS 建議的安全最佳實踐來配置 EMR 安全組，或者需要安裝操作系統補丁來遵循任何其他安全政策，則可以按照以下說明來更新新的或現有的 EMR 集群，以緩解這些問題。注意：這些更新將需要重啟集群實例，并可能影響正在運行的應用程序。客戶僅應在認為有必要重啟集群時才這樣做：

對于現有集群，以滾動方式更新集群中每個實例上的 Linux 內核，然后重啟實例。

總結

以上是生活随笔為你收集整理的linux拒绝tcp链接,Linux 内核 TCP SACK 拒绝服务问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。