Problemas conocidos - Estudio de investigación e ingeniería
Problemas conocidos de la versión 2024.x

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Problemas conocidos

Problemas conocidos de la versión 2024.x

........................

(2024.08) Los escritorios virtuales no pueden montar el bucket de read/write Amazon S3 con el ARN del bucket raíz y un prefijo personalizado

Descripción del error

Research and Engineering Studio 2024.08 no puede montar los buckets read/write S3 en una instancia de infraestructura de escritorio virtual (VDI) cuando utiliza un ARN de bucket raíz (es decir,arn:aws:s3:::example-bucket) y un prefijo personalizado (nombre del proyecto o nombre del proyecto y nombre de usuario).

Entre las configuraciones de bucket que no se ven afectadas por este problema se incluyen las siguientes:

  • cubos de solo lectura

  • buckets de lectura/escritura con un prefijo como parte del ARN del bucket (es decir,arn:aws:s3:::example-bucket/example-folder-prefix) y un prefijo personalizado (nombre del proyecto o nombre del proyecto y nombre de usuario)

  • buckets de lectura/escritura con un ARN de bucket raíz, pero sin prefijos personalizados

Tras aprovisionar una instancia de VDI, el directorio de montaje especificado para ese bucket de S3 no tendrá el bucket montado. Aunque el directorio de montaje de la VDI estará presente, estará vacío y no contendrá el contenido actual del bucket. Al escribir un archivo en el directorio mediante la terminal, se Permission denied, unable to write a file generará el error y el contenido del archivo no se cargará en el depósito de S3 correspondiente.

Versiones afectadas

2024.08

Mitigación

  1. Para descargar el script de parche y el archivo de parche (patch.pyys3_mount_custom_prefix_fix.patch), ejecute el siguiente comando y <output-directory> sustitúyalo por el directorio en el que desea descargar el script y el archivo de parche y <environment-name> por el nombre de su entorno RES:

    1. El parche solo se aplica a la RES 2024.08.

    2. El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.

    3. Configure la AWS CLI para la cuenta y la región en las que se implementa RES y asegúrese de tener permisos de Amazon S3 para escribir en el bucket creado por RES.

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  2. Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche:

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  3. Para finalizar la instancia de Virtual Desktop Controller (vdc-controller) de su entorno, ejecute los siguientes comandos. (Ya configuró la ENVIRONMENT_NAME variable con el nombre de su entorno RES en el primer paso).

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
    nota

    Para las configuraciones de VPC privadas, si aún no lo ha hecho, para la <RES-EnvironmentName>-vdc-custom-credential-broker-lambda función asegúrese de añadir el nombre AWS_STS_REGIONAL_ENDPOINTS y el Environment variable valor de. regional Para obtener más información, consulte Requisitos previos del bucket de Amazon S3 para implementaciones de VPC aisladas.

  4. Una vez que el grupo objetivo que comienza con el nombre <RES-EnvironmentName>-vdc-ext se recupere, VDIs será necesario lanzar uno nuevo que tenga los buckets read/write S3 con el ARN del bucket raíz y el prefijo personalizado montados correctamente.

........................

(2024.06) Se produce un error al aplicar la instantánea cuando el nombre del grupo de AD contiene espacios

Problema

El RES 2024.06 no aplica las instantáneas de versiones anteriores si los grupos de AD contienen espacios en sus nombres.

Los registros del administrador de clústeres (del grupo de CloudWatch registros) incluirán el <environment-name>/cluster-manager siguiente error durante la sincronización de AD:

[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$

El error se debe a que RES solo acepta nombres de grupos que cumplan los siguientes requisitos:

  • Solo puede contener letras ASCII mayúsculas y minúsculas, dígitos, guiones (-), puntos (.) y caracteres de subrayado (_)

  • No se permite usar un guión (-) como primer carácter

  • No puede contener espacios.

Versiones afectadas

2024.06

Mitigación

  1. Para descargar el script y el archivo del parche (patch.py y groupname_regex.patch), ejecute el siguiente comando y <output-directory> sustitúyalos por el directorio en el que desee colocar los archivos y <environment-name> por el nombre del entorno RES:

    1. El parche solo se aplica a la RES 2024.06

    2. El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.

    3. Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES:

      OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch

  2. Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche:

    python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch

  3. Para reiniciar la instancia de Cluster Manager para su entorno, ejecute los siguientes comandos: También puede finalizar la instancia desde Amazon EC2 Management Console.

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
nota

El parche permite que los nombres de los grupos de AD contengan letras ASCII minúsculas y mayúsculas, dígitos, guiones (-), puntos (.), caracteres de subrayado (_) y espacios con una longitud total de entre 1 y 30, ambos inclusive.

........................

(2024.04-2024.04.02) Siempre que el límite de permisos de IAM no esté asociado a la función de las instancias de VDI

¿El problema

Las sesiones de escritorios virtuales no heredan correctamente la configuración de límites de permisos de su proyecto. Esto se debe a que el límite de permisos definido por el parámetro IAMPermission Límite no se asignó correctamente a un proyecto durante su creación.

Versiones afectadas

2024.04 - 2024.04.02

Mitigación

Siga estos pasos para poder heredar correctamente VDIs el límite de permisos asignado a un proyecto:

  1. Para descargar el script y el archivo del parche (patch.py y vdi_host_role_permission_boundary.patch), ejecute el siguiente comando y sustitúyalos por el directorio local en el que desee colocar los archivos: <output-directory>

    1. El parche solo se aplica a la RES 2024.04.02. Si tiene la versión 2024.04 o 2024.04.01, puede seguir los pasos que se indican en el documento público para las actualizaciones de las versiones menores a fin de actualizar su entorno a la versión 2024.04.02.

    2. El script del parche requiere AWS CLI (v2), Python 3.9.16 o superior y Boto3.

    3. Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch

  2. Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando patch y <environment-name> sustitúyalo por el nombre de su entorno RES:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch

  3. Reinicie la instancia del administrador de clústeres en su entorno ejecutando este comando, sustituyéndolo <environment-name> por el nombre de su entorno RES. También puede cancelar la instancia desde Amazon EC2 Management Console.

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 y versiones anteriores) Las instancias de Windows NVIDIA en ap-southeast-2 (Sídney) no se inician

¿El problema

Amazon Machine Images (AMIs) se utilizan para activar escritorios virtuales (VDIs) en RES con configuraciones específicas. Cada AMI tiene un identificador asociado que varía según la región. El ID de AMI configurado en RES para lanzar instancias de Windows Nvidia en ap-southeast-2 (Sídney) es incorrecto actualmente.

El AMI-ID ami-0e190f8939a996caf para este tipo de configuración de instancia aparece incorrectamente en ap-southeast-2 (Sídney). En su lugar, se ami-027cf6e71e2e442f4 debe usar el ID de AMI.

Los usuarios recibirán el siguiente error al intentar lanzar una instancia con la ami-0e190f8939a996caf AMI predeterminada.

An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist

Pasos para reproducir el error, incluido un ejemplo de archivo de configuración:

  • Implemente RES en la región ap-southeast-2.

  • Lanza una instancia con la pila de software predeterminada de Windows-NVIDIA (ID de AMI)ami-0e190f8939a996caf.

Versiones afectadas

Todas las versiones 2024.04.02 o anteriores de RES se ven afectadas

Mitigación

La siguiente mitigación se probó en la versión 2024.01.01 de RES:

  • Registre una nueva pila de software con la siguiente configuración

    • ID de AMI: ami-027cf6e71e2e442f4

    • Sistema operativo: Windows

    • Fabricante de GPU: NVIDIA

    • Mín. Tamaño de almacenamiento (GB): 30

    • Mín. RAM (GB): 4

  • Utilice esta pila de software para lanzar instancias de Windows-NVIDIA

........................

(2024.04 y 2024.04.01) Error al eliminar RES en GovCloud

¿El problema

Durante el flujo de trabajo de eliminación de RES, UnprotectCognitoUserPool Lambda desactiva la protección contra eliminación para los grupos de usuarios de Cognito que se eliminarán más adelante. La ejecución de Lambda se inicia con. InstallerStateMachine

Debido a las diferencias de versión de AWS CLI predeterminadas entre la versión comercial y GovCloud las regiones, la update_user_pool llamada en la Lambda fallará en GovCloud las regiones.

Los clientes recibirán el siguiente error al intentar eliminar RES en GovCloud las regiones:

Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

Pasos para reproducir el error:

  • Implemente RES en una GovCloud región

  • Elimine la pila RES

Versiones afectadas

RES versiones 2024.04 y 2024.04.01

Mitigación

La siguiente mitigación se probó en la versión 2024.04 de RES:

  • Abra la UnprotectCognitoUserPool Lambda

    • Convención de nomenclatura: <env-name>-InstallerTasksUnprotectCognitoUserPool-...

  • Configuración del tiempo de ejecución -> Editar -> Seleccionar tiempo de ejecución Python 3.11 -> Guardar.

  • Abrir CloudFormation.

  • Elimine la pila RES -> deje sin marcar Retain Installer Resource -> Eliminar.

........................

(2024.04 - 2024.04.02) Es posible que el escritorio virtual Linux quede atrapado en el estado «REANUDANDO» al reiniciarse

¿El problema

Los escritorios virtuales Linux pueden quedarse atascados en el estado «REANUDANDO» al reiniciarse después de una parada manual o programada.

Una vez reiniciada la instancia, el AWS Systems Manager no ejecuta ningún comando remoto para crear una nueva sesión de DCV y falta el siguiente mensaje de registro en los registros del controlador de vdc (en el grupo de CloudWatch registros): <environment-name>/vdc/controller CloudWatch 

Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT

Versiones afectadas

2024.04 - 2024.04.02

Mitigación

Para recuperar los escritorios virtuales que están atrapados en el estado «REANUDANDO»:

  1. Acceda mediante SSH a la instancia problemática desde la consola. EC2

  2. Ejecuta los siguientes comandos en la instancia:

    sudo su -
/bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
sudo reboot

  3. Espera a que la instancia se reinicie.

Para evitar que los nuevos escritorios virtuales sufran el mismo problema, sigue estos pasos:

  1. Para descargar el script y el archivo del parche (patch.py y vdi_stuck_in_resuming_status.patch), ejecute el siguiente comando y reemplácelo por el directorio en el que desee colocar los archivos: <output-directory>

    nota

    • El parche solo se aplica a la RES 2024.04.02.

    • El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.

    • Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch

  2. Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando de parche y <environment-name> sustitúyalo por el nombre de su entorno RES y <aws-region> por la región en la que se implementa RES:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region>

  3. Para reiniciar la instancia del controlador VDC de su entorno, ejecute los siguientes comandos y <environment-name> sustitúyalos por el nombre de su entorno RES:

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(04.02 de abril de 2020 y versiones anteriores) No se sincronizan los usuarios de AD cuyo atributo de SAMAccount nombre incluye letras mayúsculas o caracteres especiales

¿El problema

RES no sincroniza a los usuarios de AD después de configurar el SSO durante al menos dos horas (dos ciclos de sincronización de AD). Los registros del administrador de clústeres (del grupo de CloudWatch registros) incluyen el <environment-name>/cluster-manager siguiente error durante la sincronización de AD:

Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$

El error se debe a que RES solo acepta un SAMAccount nombre de usuario que cumpla los siguientes requisitos:

  • Solo puede contener letras ASCII minúsculas, dígitos, puntos (.) y caracteres de subrayado (_).

  • No se permite un punto o un guión bajo como primer o último carácter.

  • No puede contener dos puntos o guiones bajos continuos (por ejemplo,.., __, ._, _.).

Versiones afectadas

2024.04.02 y versiones anteriores

Mitigación

  1. Para descargar el script y el archivo del parche (patch.py y samaccountname_regex.patch), ejecute el siguiente comando y reemplácelo por el directorio en el que desee colocar los archivos: <output-directory>

    nota

    • El parche solo se aplica al RES 2024.04.02.

    • El script del parche requiere AWS CLI v2, Python 3.9.16 o superior y Boto3.

    • Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch

  2. Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando patch y <environment-name> sustitúyalo por el nombre de su entorno RES:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch

  3. Para reiniciar la instancia de Cluster Manager para su entorno, ejecute los siguientes comandos y <environment-name> sustitúyalos por el nombre de su entorno RES. También puede cancelar la instancia desde Amazon EC2 Management Console.

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(02 de abril de 2020 y versiones anteriores) La clave privada para acceder al host del bastión no es válida

¿El problema

Cuando un usuario descarga la clave privada para acceder al servidor del bastión desde el portal web de RES, la clave no está bien formateada: se descargan varias líneas en una sola línea, lo que invalida la clave. El usuario recibirá el siguiente error cuando intente acceder al host del bastión con la clave descargada:

Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

Versiones afectadas

2024.04.02 y versiones anteriores

Mitigación

Recomendamos usar Chrome para descargar las claves, ya que este navegador no se ve afectado.

Como alternativa, se puede volver a formatear el archivo clave creando una nueva línea después -----BEGIN PRIVATE KEY----- y otra línea nueva justo antes. -----END PRIVATE KEY-----

........................

(2024.06 y versiones anteriores) Los miembros del grupo no se sincronizaron con RES durante la sincronización de AD

Descripción del error

Los miembros del grupo no se sincronizarán correctamente con RES si el GroupOU es diferente del UserOU.

RES crea un filtro ldapsearch cuando intenta sincronizar usuarios de un grupo de AD. El filtro actual utiliza incorrectamente el parámetro UserOU en lugar del parámetro GroupOU. El resultado es que la búsqueda no devuelve ningún usuario. Este comportamiento solo se produce en los casos en que UserSou y GroupU son diferentes.

Versiones afectadas

Este problema afecta a todas las versiones 2024.06 o anteriores de RES

Mitigación

Siga estos pasos para resolver el problema:

  1. Para descargar el script patch.py y el archivo group_member_sync_bug_fix.patch, ejecute los siguientes comandos y <output-directory> sustitúyalos por el directorio local en el que desee descargar los archivos y <res_version> por la versión de RES a la que desee aplicar el parche:

    nota
    OUTPUT_DIRECTORY=<output-directory>
RES_VERSION=<res_version>
mkdir -p ${OUTPUT_DIRECTORY}

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch

  2. Navegue hasta el directorio en el que se descargaron el script y el archivo del parche. Ejecute el siguiente comando patch y <environment-name> sustitúyalo por el nombre de su entorno RES:

    cd ${OUTPUT_DIRECTORY}
ENVIRONMENT_NAME=<environment-name>

python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch

  3. Para reiniciar la instancia del administrador de clústeres de su entorno, ejecute los siguientes comandos:

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.06 y versiones anteriores) CVE-2024-6387, Regre, vulnerabilidad de seguridad en Ubuntu y Ubuntu SSHion RHEL9 VDIs

Descripción del error

El CVE-2024-6387, denominado regreSSHion, ha sido identificado en el servidor OpenSSH. Esta vulnerabilidad permite a los atacantes remotos y no autenticados ejecutar código arbitrario en el servidor de destino, lo que representa un grave riesgo para los sistemas que utilizan OpenSSH para comunicaciones seguras.

En el caso de RES, la configuración estándar consiste en pasar por el host bastión para acceder mediante SSH a los escritorios virtuales, y el host bastión no se ve afectado por esta vulnerabilidad. Sin embargo, la AMI (Amazon Machine Image) predeterminada que proporcionamos RHEL9 y Ubuntu 2024 VDIs (infraestructura de escritorio virtual) en TODAS las versiones de RES utilizan una versión OpenSSH que es vulnerable a la amenaza de seguridad.

Esto significa que la versión existente RHEL9 y Ubuntu2024 VDIs podrían ser explotables, pero el atacante necesitaría acceder al servidor bastión.

Puedes encontrar más detalles sobre el problema aquí.

Versiones afectadas

Este problema afecta a todas las versiones 2024.06 o anteriores de RES.

Mitigación

RHEL9 Tanto Ubuntu como Ubuntu han lanzado parches para OpenSSH que corrigen la vulnerabilidad de seguridad. Estos se pueden obtener utilizando el administrador de paquetes respectivo de la plataforma.

Si tienes Ubuntu existente RHEL9 o Ubuntu VDIs, te recomendamos que sigas las VDIs instrucciones de PATCH EXISTING que aparecen a continuación. Para parchear el futuro VDIs, recomendamos seguir las VDIs instrucciones de PATCH FUTURE. Estas instrucciones describen cómo ejecutar un script para aplicar la actualización de la plataforma en su VDIs.

PARCHE EXISTENTE VDIs

  1. Ejecute el siguiente comando que parcheará todos los Ubuntu existentes y RHEL9 VDIs:

    1. El script del parche requiere AWS CLI v2.

    2. Configure la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de administrador de AWS sistemas para enviar un comando de ejecución de Systems Manager.

      aws ssm send-command \
    --document-name "AWS-RunRemoteScript" \
    --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
    --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}'

  2. Puede comprobar que el script se ha ejecutado correctamente en la página Ejecutar comandos. Haga clic en la pestaña Historial de comandos, seleccione el ID de comando más reciente y compruebe que todas las instancias IDs tienen un mensaje de éxito.

PARCHE EL FUTURO VDIs

  1. Para descargar el script y el archivo del parche (patch.py y update_openssh.patch) ejecute los siguientes comandos y sustitúyalos por <output-directory> el directorio en el que desea descargar los archivos y por el nombre de su entorno <environment-name> RES:

    nota

    • El parche solo se aplica a la RES 2024.06.

    • El script del parche requiere AWS CLI (v2), Python 3.9.16 o superior y Boto3.

    • Configure su copia de la AWS CLI para la cuenta y la región donde se implementa RES y asegúrese de tener permisos de S3 para escribir en el bucket creado por RES.

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch

  2. Ejecute el siguiente comando de parche: 

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch

  3. Reinicie la instancia de la controladora VDC de su entorno con los siguientes comandos: 

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
importante

La aplicación de parches en el futuro solo VDIs se admite en las versiones 2024.06 y posteriores de RES. Para parchear el futuro VDIs en entornos RES con versiones anteriores a la 2024.06, primero actualice el entorno RES a la 2024.06 siguiendo las instrucciones de:. Actualizaciones de versiones principales

........................