Masalah yang Diketahui - Studio Penelitian dan Rekayasa
Masalah yang Diketahui 2024.x

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah yang Diketahui

Masalah yang Diketahui 2024.x

........................

(2024.08) Desktop virtual gagal memasang bucket Amazon S3 read/write dengan root bucket ARN dan awalan khusus

Deskripsi bug

Research and Engineering Studio 2024.08 gagal memasang bucket read/write S3 ke instance infrastruktur desktop virtual (VDI) saat menggunakan bucket root ARN (yaitu,arn:aws:s3:::example-bucket) dan awalan khusus (nama proyek atau nama proyek dan nama pengguna).

Konfigurasi bucket yang tidak terpengaruh oleh masalah ini meliputi:

  • ember hanya-baca

  • baca/tulis bucket dengan awalan sebagai bagian dari bucket ARN (yaitu,arn:aws:s3:::example-bucket/example-folder-prefix) dan awalan kustom (nama proyek atau nama proyek dan nama pengguna)

  • baca/tulis bucket dengan root bucket ARN, tetapi tidak ada awalan khusus

Setelah Anda menyediakan instance VDI, direktori mount yang ditentukan untuk bucket S3 tersebut tidak akan memiliki bucket yang terpasang. Meskipun direktori mount pada VDI akan ada, direktori akan kosong dan tidak akan berisi konten bucket saat ini. Saat Anda menulis file ke direktori menggunakan terminal, kesalahan Permission denied, unable to write a file akan dilemparkan dan konten file tidak akan diunggah ke ember S3 yang sesuai.

Versi yang terpengaruh

2024.08

Mitigasi

  1. Untuk mengunduh skrip patch dan file patch (patch.pydans3_mount_custom_prefix_fix.patch), jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin mengunduh skrip patch dan file patch dan <environment-name> dengan nama lingkungan RES Anda:

    1. Patch hanya berlaku untuk RES 2024.08.

    2. Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.

    3. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES diterapkan, dan pastikan Anda memiliki izin Amazon S3 untuk menulis ke bucket yang dibuat oleh RES.

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  2. Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut:

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  3. Untuk mengakhiri instance Virtual Desktop Controller (vdc-controller) untuk lingkungan Anda, jalankan perintah berikut. (Anda sudah mengatur ENVIRONMENT_NAME variabel ke nama lingkungan RES Anda di langkah pertama.)

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
    catatan

    Untuk pengaturan VPC pribadi, jika Anda belum melakukannya, untuk <RES-EnvironmentName>-vdc-custom-credential-broker-lambda fungsi pastikan untuk menambahkan Environment variable dengan nama AWS_STS_REGIONAL_ENDPOINTS dan nilai. regional Untuk informasi selengkapnya, lihat Prasyarat bucket Amazon S3 untuk penerapan VPC yang terisolasi.

  4. Setelah grup target yang dimulai dengan nama <RES-EnvironmentName>-vdc-ext menjadi sehat, new perlu diluncurkan yang VDIs akan memiliki bucket read/write S3 dengan root bucket ARN dan awalan khusus dipasang dengan benar.

........................

(2024.06) Menerapkan snapshot gagal saat nama grup AD berisi spasi

Masalah

RES 2024.06 gagal menerapkan snapshot dari versi sebelumnya jika grup AD berisi spasi dalam namanya.

CloudWatch Log pengelola klaster (di bawah grup <environment-name>/cluster-manager log) akan menyertakan kesalahan berikut selama sinkronisasi AD:

[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$

Kesalahan hasil dari RES hanya menerima nama grup yang memenuhi persyaratan berikut:

  • Ini hanya dapat berisi huruf kecil dan huruf besar ASCII, digit, tanda hubung (-), periode (.), dan garis bawah (_)

  • Tanda hubung (-) tidak diperbolehkan sebagai karakter pertama

  • Tidak dapat berisi spasi.

Versi yang terpengaruh

2024.06

Mitigasi

  1. Untuk mengunduh skrip patch dan file patch (patch.py dan groupname_regex.patch), jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin meletakkan file, dan <environment-name> dengan nama lingkungan RES Anda:

    1. Patch hanya berlaku untuk RES 2024.06

    2. Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.

    3. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES:

      OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch

  2. Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut:

    python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch

  3. Untuk memulai ulang instance Cluster Manager untuk lingkungan Anda, jalankan perintah berikut: Anda juga dapat menghentikan instance dari Amazon EC2 Management Console.

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
catatan

Patch memungkinkan nama grup AD berisi huruf ASCII huruf kecil dan huruf besar ASCII, digit, tanda hubung (-), periode (.), garis bawah (_), dan spasi dengan panjang total antara 1 dan 30, inklusif.

........................

(2024.04-2024.04.02) Memberikan Batas Izin IAM yang tidak dilampirkan ke peran instans VDI

Masalah

Sesi desktop virtual tidak mewarisi konfigurasi batas izin proyek mereka dengan benar. Ini adalah hasil dari batas izin yang ditentukan oleh parameter IAMPermission Batas yang tidak ditetapkan dengan benar ke proyek selama pembuatan proyek tersebut.

Versi yang terpengaruh

2024.04 - 2024.04.02

Mitigasi

Ikuti langkah-langkah ini VDIs untuk memungkinkan mewarisi batas izin yang ditetapkan ke proyek dengan benar:

  1. Untuk mengunduh skrip patch dan file patch (patch.py dan vdi_host_role_permission_boundary.patch), jalankan perintah berikut, ganti dengan direktori lokal tempat Anda ingin meletakkan file: <output-directory>

    1. Patch hanya berlaku untuk RES 2024.04.02. Jika Anda menggunakan versi 2024.04 atau 2024.04.01, Anda dapat mengikuti langkah-langkah yang tercantum dalam dokumen publik untuk pembaruan versi minor untuk memperbarui lingkungan Anda ke 2024.04.02.

    2. Skrip patch membutuhkan AWS CLI v2), Python 3.9.16 atau lebih tinggi, dan Boto3.

    3. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch

  2. Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch

  3. Mulai ulang instance pengelola klaster di lingkungan Anda dengan menjalankan perintah ini, ganti <environment-name> dengan nama lingkungan RES Anda. Anda juga dapat menghentikan instance dari Amazon EC2 Management Console.

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 dan sebelumnya) Instans Windows NVIDIA di ap-southeast-2 (Sydney) gagal diluncurkan

Masalah

Amazon Machine Images (AMIs) digunakan untuk memutar virtual desktop (VDIs) di RES dengan konfigurasi tertentu. Setiap AMI memiliki ID terkait yang berbeda per wilayah. ID AMI yang dikonfigurasi dalam RES untuk meluncurkan instance Windows Nvidia di ap-southeast-2 (Sydney) saat ini salah.

AMI-ID ami-0e190f8939a996caf untuk jenis konfigurasi instans ini salah tercantum di ap-southeast-2 (Sydney). ID AMI ami-027cf6e71e2e442f4 harus digunakan sebagai gantinya.

Pengguna akan mendapatkan kesalahan berikut saat mencoba meluncurkan instance dengan ami-0e190f8939a996caf AMI default.

An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist

Langkah-langkah untuk mereproduksi bug, termasuk contoh file konfigurasi:

  • Menyebarkan RES di wilayah ap-southeast-2.

  • Luncurkan instance menggunakan tumpukan perangkat lunak default Windows-NVIDIA (ID ami-0e190f8939a996caf AMI).

Versi yang terpengaruh

Semua versi RES 2024.04.02 atau sebelumnya terpengaruh

Mitigasi

Mitigasi berikut telah diuji pada RES versi 2024.01.01:

  • Daftarkan tumpukan perangkat lunak baru dengan pengaturan berikut

    • ID AMI: ami-027cf6e71e2e442f4

    • Sistem Operasi: Windows

    • Produsen GPU: NVIDIA

    • Min. Ukuran Penyimpanan (GB): 30

    • Min. RAM (GB): 4

  • Gunakan tumpukan perangkat lunak ini untuk meluncurkan instance Windows-NVIDIA

........................

(2024.04 dan 2024.04.01) Kegagalan penghapusan RES di GovCloud

Masalah

Selama alur kerja penghapusan RES, UnprotectCognitoUserPool Lambda menonaktifkan Perlindungan Penghapusan untuk Kumpulan Pengguna Cognito yang nantinya akan dihapus. Eksekusi Lambda dimulai oleh. InstallerStateMachine

Karena perbedaan versi AWS CLI default antara Komersil dan GovCloud wilayah, update_user_pool panggilan di Lambda akan gagal di wilayah. GovCloud

Pelanggan akan mendapatkan kesalahan berikut saat mencoba menghapus RES di GovCloud wilayah:

Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

Langkah-langkah untuk mereproduksi bug:

  • Menyebarkan RES di suatu wilayah GovCloud

  • Hapus tumpukan RES

Versi yang terpengaruh

RES versi 2024.04 dan 2024.04.01

Mitigasi

Mitigasi berikut telah diuji pada RES versi 2024.04:

  • Buka UnprotectCognitoUserPool Lambda

    • Konvensi penamaan: <env-name>-InstallerTasksUnprotectCognitoUserPool-...

  • Pengaturan Runtime -> Edit -> Pilih Runtime Python 3.11 -> Simpan.

  • Terbuka CloudFormation.

  • Hapus tumpukan RES -> biarkan Retain Installer Resource TIDAK DICENTANG -> Hapus.

........................

(2024.04 - 2024.04.02) Desktop virtual Linux mungkin macet dalam status “MELANJUTKAN” saat reboot

Masalah

Desktop virtual Linux dapat terjebak dalam status “MELANJUTKAN” saat memulai ulang setelah pemberhentian manual atau terjadwal.

Setelah instance di-boot ulang, AWS Systems Manager tidak menjalankan perintah jarak jauh apa pun untuk membuat sesi DCV baru dan pesan log berikut hilang di log vdc-controller (di bawah grup CloudWatch log): <environment-name>/vdc/controller CloudWatch 

Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT

Versi yang terpengaruh

2024.04 - 2024.04.02

Mitigasi

Untuk memulihkan desktop virtual yang terjebak dalam status “MELANJUTKAN”:

  1. SSH ke dalam instance masalah dari EC2 konsol.

  2. Jalankan perintah berikut pada instance:

    sudo su -
/bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
sudo reboot

  3. Tunggu instance untuk reboot.

Untuk mencegah desktop virtual baru mengalami masalah yang sama:

  1. Untuk mengunduh skrip patch dan file patch (patch.py dan vdi_stuck_in_resuming_status.patch), jalankan perintah berikut, ganti dengan direktori tempat Anda ingin meletakkan file: <output-directory>

    catatan

    • Patch hanya berlaku untuk RES 2024.04.02.

    • Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.

    • Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch

  2. Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda dan <aws-region> dengan wilayah tempat RES digunakan:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region>

  3. Untuk memulai ulang instance VDC Controller untuk lingkungan Anda, jalankan perintah berikut, ganti <environment-name> dengan nama lingkungan RES Anda:

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 dan sebelumnya) Gagal menyinkronkan pengguna AD yang atribut SAMAccount Namanya menyertakan huruf kapital atau karakter khusus

Masalah

RES gagal menyinkronkan pengguna AD setelah SSO diatur setidaknya selama dua jam (dua siklus sinkronisasi AD). CloudWatch Log pengelola klaster (di bawah grup <environment-name>/cluster-manager log) menyertakan kesalahan berikut selama sinkronisasi AD:

Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$

Kesalahan hasil dari RES hanya menerima SAMAccount nama pengguna yang memenuhi persyaratan berikut:

  • Itu hanya dapat berisi huruf ASCII kecil, digit, periode (.), garis bawah (_).

  • Periode atau garis bawah tidak diperbolehkan sebagai karakter pertama atau terakhir.

  • Itu tidak dapat berisi dua periode berkelanjutan atau garis bawah (misalnya.., __, ._, _.).

Versi yang terpengaruh

2024.04.02 dan sebelumnya

Mitigasi

  1. Untuk mengunduh skrip patch dan file patch (patch.py dan samaccountname_regex.patch), jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin meletakkan file:

    catatan

    • Patch hanya berlaku untuk RES 2024.04.02.

    • Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.

    • Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch

  2. Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda:

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch

  3. Untuk memulai ulang instance Cluster Manager untuk lingkungan Anda, jalankan perintah berikut, ganti <environment-name> dengan nama lingkungan RES Anda. Anda juga dapat menghentikan instance dari Amazon EC2 Management Console.

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 dan sebelumnya) Kunci pribadi untuk mengakses host bastion tidak valid

Masalah

Ketika pengguna mengunduh kunci pribadi untuk mengakses host bastion dari portal web RES, kuncinya tidak diformat dengan baik — beberapa baris diunduh sebagai satu baris, yang membuat kunci tidak valid. Pengguna akan mendapatkan kesalahan berikut ketika mereka mencoba mengakses host bastion dengan kunci yang diunduh:

Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

Versi yang terpengaruh

2024.04.02 dan sebelumnya

Mitigasi

Kami merekomendasikan menggunakan Chrome untuk mengunduh kunci, karena browser ini tidak terpengaruh.

Atau, file kunci dapat diformat ulang dengan membuat baris baru setelah -----BEGIN PRIVATE KEY----- dan baris baru lainnya sebelumnya. -----END PRIVATE KEY-----

........................

(2024.06 dan sebelumnya) Anggota grup tidak disinkronkan ke RES selama sinkronisasi AD

Deskripsi bug

Anggota grup tidak akan melakukan sinkronisasi dengan benar ke RES jika GrouPou berbeda dari UseRou.

RES membuat filter ldapsearch saat mencoba menyinkronkan pengguna dari grup AD. Filter saat ini salah menggunakan parameter UseRou alih-alih parameter GrouPou. Hasilnya adalah pencarian gagal mengembalikan pengguna mana pun. Perilaku ini hanya terjadi dalam kasus di mana userSou dan GrouPou berbeda.

Versi yang terpengaruh

Masalah ini memengaruhi semua versi RES 2024.06 atau yang lebih lama

Mitigasi

Ikuti langkah-langkah ini untuk mengatasi masalah:

  1. Untuk mengunduh skrip patch.py dan file group_member_sync_bug_fix.patch, jalankan perintah berikut, ganti <output-directory> dengan direktori lokal tempat Anda ingin mengunduh file, dan dengan versi RES yang ingin Anda tambal: <res_version>

    catatan

    • Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.

    • Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.

    • Patch hanya mendukung versi RES 2024.04.02 dan 2024.06. Jika Anda menggunakan 2024.04 atau 2024.04.01, Anda dapat mengikuti langkah-langkah yang tercantum untuk memperbarui lingkungan Anda terlebih dahulu Pembaruan versi minor ke 2024.04.02 sebelum menerapkan tambalan.

    OUTPUT_DIRECTORY=<output-directory>
RES_VERSION=<res_version>
mkdir -p ${OUTPUT_DIRECTORY}

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch

  2. Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda:

    cd ${OUTPUT_DIRECTORY}
ENVIRONMENT_NAME=<environment-name>

python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch

  3. Untuk memulai ulang instance pengelola klaster untuk lingkungan Anda, jalankan perintah berikut:

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.06 dan sebelumnya) CVE-2024-6387, Regre, Kerentanan Keamanan di dan Ubuntu SSHion RHEL9 VDIs

Deskripsi bug

CVE-2024-6387, dijuluki regreSSHion, telah diidentifikasi di server OpenSSH. Kerentanan ini memungkinkan penyerang jarak jauh dan tidak diautentikasi untuk mengeksekusi kode arbitrer pada server target, menghadirkan risiko parah pada sistem yang memanfaatkan OpenSSH untuk komunikasi yang aman.

Untuk RES, konfigurasi standar adalah melalui host bastion ke SSH ke desktop virtual, dan host bastion tidak terpengaruh oleh kerentanan ini. Namun, AMI default (Amazon Machine Image) yang kami sediakan RHEL9 dan Ubuntu2024 VDIs (Virtual Desktop Infrastructure) di ALL RES versi menggunakan versi OpenSSH yang rentan terhadap ancaman keamanan.

Ini berarti bahwa yang ada RHEL9 dan Ubuntu2024 VDIs dapat dieksploitasi, tetapi penyerang akan memerlukan akses ke host benteng.

Rincian lebih lanjut tentang masalah ini dapat ditemukan di sini.

Versi yang terpengaruh

Masalah ini memengaruhi semua versi RES 2024.06 atau yang lebih lama.

Mitigasi

Keduanya RHEL9 dan Ubuntu telah merilis patch untuk OpenSSH yang memperbaiki kerentanan keamanan. Ini dapat ditarik menggunakan manajer paket masing-masing platform.

Jika Anda sudah ada RHEL9 atau Ubuntu VDIs, kami sarankan mengikuti VDIs petunjuk PATCH EXISTING di bawah ini. Untuk menambal future VDIs, sebaiknya ikuti VDIs petunjuk PATCH FUTURE. Instruksi ini menjelaskan cara menjalankan skrip untuk menerapkan pembaruan platform pada Anda VDIs.

PATCH YANG ADA VDIs

  1. Jalankan perintah berikut yang akan menambal semua Ubuntu yang ada dan RHEL9 VDIs:

    1. Skrip patch membutuhkan AWS CLI v2.

    2. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin AWS Systems Manager untuk mengirim perintah Systems Manager Run.

      aws ssm send-command \
    --document-name "AWS-RunRemoteScript" \
    --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
    --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}'

  2. Anda dapat memverifikasi skrip berjalan dengan sukses di halaman Run Command. Klik pada tab Command History, pilih Command ID terbaru, dan verifikasi bahwa semua instance IDs memiliki pesan SUCCESS.

PATCH MASA DEPAN VDIs

  1. Untuk mengunduh skrip patch dan file patch (patch.py dan update_openssh.patch) jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin mengunduh file, dan <environment-name> dengan nama lingkungan RES Anda:

    catatan

    • Patch hanya berlaku untuk RES 2024.06.

    • Skrip patch membutuhkan AWS CLI v2), Python 3.9.16 atau lebih tinggi, dan Boto3.

    • Konfigurasikan salinan AWS CLI Anda untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch

  2. Jalankan perintah patch berikut: 

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch

  3. Mulai ulang instance VDC Controller untuk lingkungan Anda dengan perintah berikut: 

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
penting

Patching future hanya VDIs didukung pada RES versi 2024.06 dan yang lebih baru. Untuk menambal future VDIs di lingkungan RES dengan versi lebih awal dari 2024.06, pertama-tama tingkatkan lingkungan RES ke 2024.06 menggunakan instruksi di:. Pembaruan versi utama

........................