알려진 문제

• 알려진 문제 2024.x

  • (2024.08) 가상 데스크톱이 루트 버킷 ARN 및 사용자 지정 접두사로 읽기/쓰기 Amazon S3 버킷을 탑재하지 못함

  • (2024.06) AD 그룹 이름에 공백이 포함된 경우 스냅샷 적용 실패

  • (2024.04-2024.04.02) VDI 인스턴스 역할에 연결되지 않은 제공된 IAM 권한 경계

  • (2024.04.02 이하) ap-southeast-2(Sydney)의 Windows NVIDIA 인스턴스가 시작되지 않음

  • (2024.04 및 2024.04.01) 에서 RES 삭제 실패 GovCloud

  • (2024년 4월 - 2024.04.02) 재부팅 시 Linux 가상 데스크톱이 “RESUMING” 상태에서 중단될 수 있습니다.

  • (2024.04.02 이하) SAMAccountName 속성에 대문자 또는 특수 문자가 포함된 AD 사용자를 동기화하지 못함

  • (2024.04.02 이하) Bastion 호스트에 액세스하기 위한 프라이빗 키가 유효하지 않습니다.

  • (2024.06 이하) AD 동기화 RES 중에 그룹 멤버가 에 동기화되지 않음

  • (2024.06 이하) CVE-2024-6387, R egreSSHion, RHEL9 및 Ubuntu의 보안 취약성 VDIs

알려진 문제 2024.x

........................

(2024.08) 가상 데스크톱이 루트 버킷 ARN 및 사용자 지정 접두사로 읽기/쓰기 Amazon S3 버킷을 탑재하지 못함

버그 설명

Research and Engineering Studio 2024.08은 루트 버킷(즉, VDI) 및 사용자 지정 접두사ARN(프로젝트 이름 또는 프로젝트 이름 및 사용자 이름)를 사용할 때 가상 데스크톱 인프라(arn:aws:s3:::example-bucket) 인스턴스에 읽기/쓰기 S3 버킷을 탑재하지 못합니다.

이 문제의 영향을 받지 않는 버킷 구성은 다음과 같습니다.

• 읽기 전용 버킷

• 버킷의 일부로 접두사가 있는 읽기/쓰기 버킷ARN(즉, arn:aws:s3:::example-bucket/example-folder-prefix) 및 사용자 지정 접두사(프로젝트 이름 또는 프로젝트 이름 및 사용자 이름)

• 루트 버킷이 있는 읽기/쓰기 버킷 ARN, 사용자 지정 접두사 없음

VDI 인스턴스를 프로비저닝한 후에는 해당 S3 버킷에 지정된 탑재 디렉터리에 버킷이 탑재되지 않습니다. 의 탑재 디렉터리VDI가 있더라도 디렉터리는 비어 있고 버킷의 현재 내용이 포함되지 않습니다. 터미널을 사용하여 디렉터리에 파일을 쓰면 오류가 Permission denied, unable to write a file 발생하고 파일 내용이 해당 S3 버킷에 업로드되지 않습니다.

영향을 받는 버전

2024년 8월

완화

1. 패치 스크립트 및 패치 파일(patch.py 및 s3_mount_custom_prefix_fix.patch)을 다운로드하려면 다음 명령을 실행하여 패치 스크립트 및 패치 파일을 다운로드할 <output-directory> 디렉터리<environment-name>와 RES 환경 이름으로 바꿉니다.

   1. 패치는 RES 2024.08에만 적용됩니다.

   2. 패치 스크립트에는 AWS CLI v2, Python 3.9.16 이상 및 Boto3가 필요합니다.

   3. RES 가 배포된 계정 및 리전에 대해 를 AWS CLI 구성하고 에서 생성한 버킷에 쓸 수 있는 Amazon S3 권한이 있는지 확인합니다RES.

   OUTPUT_DIRECTORY=<output-directory>
   ENVIRONMENT_NAME=<environment-name>
   
   mkdir -p ${OUTPUT_DIRECTORY}
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch 

2. 패치 스크립트와 패치 파일이 다운로드되는 디렉터리로 이동합니다. 다음 패치 명령을 실행합니다.

   python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch
   

3. 환경의 Virtual Desktop Controller(vdc-controller) 인스턴스를 종료하려면 다음 명령을 실행합니다. (첫 번째 단계에서 RES 변수를 환경 ENVIRONMENT_NAME 이름으로 이미 설정했습니다.)

   INSTANCE_ID=$(aws ec2 describe-instances \
       --filters \
       Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
       Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
       --query "Reservations[0].Instances[0].InstanceId" \
       --output text)
    
   aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 

   참고

   프라이빗 VPC 설정의 경우 아직 설정하지 않은 경우 <RES-EnvironmentName>-vdc-custom-credential-broker-lambda 함수의 경우 이름과 AWS_STS_REGIONAL_ENDPOINTS 값이 Environment variable 인 를 추가해야 합니다regional. 자세한 내용은 격리된 VPC 배포를 위한 Amazon S3 버킷 사전 조건 섹션을 참조하세요.

4. 이름으로 시작하는 대상 그룹이 정상 <RES-EnvironmentName>-vdc-ext 상태가 되면 루트 버킷ARN과 사용자 지정 접두사가 올바르게 장착된 읽기/쓰기 S3 버킷을 새로 시작해야 VDIs 합니다.

........................

(2024.06) AD 그룹 이름에 공백이 포함된 경우 스냅샷 적용 실패

문제

RES AD 그룹에 이름에 공백이 포함된 경우 2024.06은 이전 버전의 스냅샷을 적용하지 못합니다.

클러스터 관리자 CloudWatch 로그(<environment-name>/cluster-manager로그 그룹 아래)에는 AD 동기화 중에 다음 오류가 포함됩니다.

[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$ 

다음 요구 사항을 충족하는 그룹 이름RES만 수락하면 오류가 발생합니다.

• 소문자와 대문자ASCII, 숫자, 대시(-), 마침표(.) 및 밑줄(_)만 포함할 수 있습니다.

• 대시(-)는 첫 번째 문자로 허용되지 않습니다.

• 공백은 포함할 수 없습니다.

영향을 받는 버전

2024년 6월

완화

1. 패치 스크립트 및 패치 파일( patch.py 및 groupname_regex.patch )을 다운로드하려면 다음 명령을 실행하여 파일을 넣을 <output-directory> 디렉터리<environment-name>와 RES 환경 이름으로 바꿉니다.

   1. 패치는 RES 2024.06에만 적용됩니다.

   2. 패치 스크립트에는 AWS CLI v2, Python 3.9.16 이상 및 Boto3가 필요합니다.

   3. RES 가 배포된 계정 및 리전에 대해 를 AWS CLI 구성하고 에서 생성한 버킷에 쓸 수 있는 S3 권한이 있는지 확인합니다RES.

      OUTPUT_DIRECTORY=<output-directory>
      ENVIRONMENT_NAME=<environment-name>
      
      mkdir -p ${OUTPUT_DIRECTORY}
      curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
      curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch 

2. 패치 스크립트와 패치 파일이 다운로드되는 디렉터리로 이동합니다. 다음 패치 명령을 실행합니다.

   python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch 

3. 환경의 Cluster Manager 인스턴스를 다시 시작하려면 다음 명령을 실행합니다. Amazon EC2 Management Console에서 인스턴스를 종료할 수도 있습니다.

   INSTANCE_ID=$(aws ec2 describe-instances \
       --filters \
       Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
       Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
       --query "Reservations[0].Instances[0].InstanceId" \
       --output text)
    
   aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 

참고

패치를 사용하면 AD 그룹 이름에 소문자와 대문자ASCII, 숫자, 대시(-), 마침표(.), 밑줄(_), 총 길이가 1~30인 공백을 포함할 수 있습니다.

........................

(2024.04-2024.04.02) VDI 인스턴스 역할에 연결되지 않은 제공된 IAM 권한 경계

문제

가상 데스크톱 세션이 프로젝트의 권한 경계 구성을 제대로 상속하지 않습니다. 이는 프로젝트 생성 중에 IAMPermissionBoundary 파라미터가 프로젝트에 제대로 할당되지 않아 정의된 권한 경계의 결과입니다.

영향을 받는 버전

2024년 4월 - 2024.04.02

완화

VDIs 가 프로젝트에 할당된 권한 경계를 적절하게 상속하도록 하려면 다음 단계를 따르세요.

1. 패치 스크립트 및 패치 파일( patch.py 및 vdi_host_role_permission_boundary.patch )을 다운로드하려면 다음 명령을 실행하여 파일을 넣을 로컬 디렉터리<output-directory>로 바꿉니다.

   1. 패치는 RES 2024.04.02에만 적용됩니다. 버전 2024.04 또는 2024.04.01을 사용하는 경우 일반 문서에 나열된 단계에 따라 마이너 버전 업데이트를 수행하여 환경을 2024.04.02로 업데이트할 수 있습니다.

   2. 패치 스크립트에는 AWS CLI v2), Python 3.9.16 이상 및 Boto3가 필요합니다.

   3. RES 가 배포된 계정 및 리전에 대해 를 AWS CLI 구성하고 에서 생성한 버킷에 쓸 수 있는 S3 권한이 있는지 확인합니다RES.

   OUTPUT_DIRECTORY=<output-directory>
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch 

2. 패치 스크립트와 패치 파일이 다운로드되는 디렉터리로 이동합니다. 다음 패치 명령을 실행<environment-name>하여 를 RES 환경 이름으로 바꿉니다.

   python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch 

3. 이 명령을 실행하고 를 환경 이름으로 바꾸어 RES 환경에서 클러스터 관리자 인스턴스<environment-name>를 다시 시작합니다. Amazon EC2 Management Console에서 인스턴스를 종료할 수도 있습니다.

   ENVIRONMENT_NAME=<environment-name>
   
   INSTANCE_ID=$(aws ec2 describe-instances \
       --filters \
       Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
       Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
       --query "Reservations[0].Instances[0].InstanceId" \
       --output text)
    
   aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 

........................

(2024.04.02 이하) ap-southeast-2(Sydney)의 Windows NVIDIA 인스턴스가 시작되지 않음

문제

Amazon Machine Images(AMIs)는 특정 구성으로 에서 가상 데스크톱(VDIs)을 스핀 업RES하는 데 사용됩니다. 각 AMI 에는 리전마다 다른 연결된 ID가 있습니다. ap-southeast-2(Sydney)에서 Windows Nvidia 인스턴스를 시작RES하도록 에 구성된 AMI ID가 현재 올바르지 않습니다.

AMI이 유형의 인스턴스 구성에 ami-0e190f8939a996caf 대한 -ID가 ap-southeast-2(Sydney)에 잘못 나열되었습니다. AMI 대신 ID를 사용해야 ami-027cf6e71e2e442f4 합니다.

사용자는 기본 ami-0e190f8939a996caf 로 인스턴스를 시작하려고 할 때 다음과 같은 오류가 발생합니다AMI.

An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist 

예제 구성 파일을 포함하여 버그를 복제하는 단계:

• ap-southeast-2 리전RES에 배포합니다.

• Windows 기본NVIDIA 소프트웨어 스택(AMI ID )을 사용하여 인스턴스를 시작합니다ami-0e190f8939a996caf.

영향을 받는 버전

모든 RES 버전 2024.04.02 이하가 영향을 받습니다.

완화

버전 RES 2024.01.01에서 다음 완화 조치가 테스트되었습니다.

• 다음 설정을 사용하여 새 소프트웨어 스택 등록

  • AMI ID: ami-027cf6e71e2e442f4

  • 운영 체제: Windows

  • GPU 제조업체: NVIDIA

  • 최소 스토리지 크기(GB): 30

  • 최소 RAM (GB): 4

• 이 소프트웨어 스택을 사용하여 Windows 인스턴스NVIDIA 시작

........................

(2024.04 및 2024.04.01) 에서 RES 삭제 실패 GovCloud

문제

RES 삭제 워크플로 중에 UnprotectCognitoUserPool Lambda는 나중에 삭제될 Cognito 사용자 풀에 대한 삭제 방지를 비활성화합니다. Lambda 실행은 에서 시작합니다InstallerStateMachine.

상용 버전과 GovCloud 리전 간의 기본 AWS CLI 버전 차이로 인해 Lambda의 update_user_pool 호출은 GovCloud 리전에서 실패합니다.

GovCloud 리전RES에서 삭제를 시도할 때 고객에게 다음과 같은 오류가 발생합니다.

Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

버그를 복제하는 단계:

• GovCloud 리전RES에 배포

• RES 스택 삭제

영향을 받는 버전

RES 버전 2024.04 및 2024.04.01

완화

버전 RES 2024.04에서 다음 완화 조치가 테스트되었습니다.

• UnprotectCognitoUserPool Lambda 열기

  • 명명 규칙: <env-name>-InstallerTasksUnprotectCognitoUserPool-...

• 런타임 설정 -> 편집 -> 런타임 선택 Python 3.11 -> 저장 .

• 를 엽니다 CloudFormation.

• RES 스택 삭제 -> 설치 관리자 리소스 유지 UNCHECKED -> 삭제 를 그대로 둡니다.

........................

(2024년 4월 - 2024.04.02) 재부팅 시 Linux 가상 데스크톱이 “RESUMING” 상태에서 중단될 수 있습니다.

문제

Linux 가상 데스크톱은 수동 또는 예약된 중지 후 다시 시작할 때 “RESUMING” 상태로 중단될 수 있습니다.

인스턴스를 재부팅한 후 AWS Systems Manager는 원격 명령을 실행하여 새 DCV 세션을 생성하지 않으며 vdc 컨트롤러 CloudWatch 로그(로그 그룹 아래)에 다음 <environment-name>/vdc/controller CloudWatch 로그 메시지가 누락되었습니다.

Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT 

영향을 받는 버전

2024년 4월 - 2024.04.02

완화

“RESUMING” 상태에서 멈춘 가상 데스크톱을 복구하려면:

1. SSH EC2 콘솔에서 문제 인스턴스로 이동합니다.

2. 인스턴스에서 다음 명령을 실행합니다.

   sudo su -
   /bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
   sudo reboot 

3. 인스턴스가 재부팅될 때까지 기다립니다.

새 가상 데스크톱이 동일한 문제로 실행되지 않도록 하려면:

1. 패치 스크립트 및 패치 파일( patch.py 및 vdi_stuck_in_resuming_status.patch )을 다운로드하려면 다음 명령을 실행하여 파일을 넣을 디렉터리<output-directory>로 바꿉니다.

   참고

   • 패치는 RES 2024.04.02에만 적용됩니다.

   • 패치 스크립트에는 AWS CLI v2, Python 3.9.16 이상 및 Boto3가 필요합니다.

   • RES 가 배포된 계정 및 리전에 대해 를 AWS CLI 구성하고 에서 생성한 버킷에 쓸 수 있는 S3 권한이 있는지 확인합니다RES.

   OUTPUT_DIRECTORY=<output-directory>
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch 

2. 패치 스크립트와 패치 파일이 다운로드되는 디렉터리로 이동합니다. 다음 패치 명령을 실행<environment-name>하여 를 RES 환경 이름 및 가 RES 배포된 리전<aws-region>으로 바꿉니다.

   python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region> 

3. 환경의 VDC 컨트롤러 인스턴스를 다시 시작하려면 다음 명령을 실행<environment-name>하고 를 RES 환경 이름으로 바꿉니다.

   ENVIRONMENT_NAME=<environment-name>
   
   INSTANCE_ID=$(aws ec2 describe-instances \
       --filters \
       Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
       Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
       --query "Reservations[0].Instances[0].InstanceId" \
       --output text)
    
   aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 

........................

(2024.04.02 이하) SAMAccountName 속성에 대문자 또는 특수 문자가 포함된 AD 사용자를 동기화하지 못함

문제

RES SSO가 최소 2시간(AD 동기화 주기 2회) 동안 설정된 후 가 AD 사용자를 동기화하지 못합니다. 클러스터 관리자 CloudWatch 로그(<environment-name>/cluster-manager로그 그룹 아래)에는 AD 동기화 중 다음과 같은 오류가 포함됩니다.

Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$ 

이 오류는 다음 요구 사항을 충족하는 SAMAccount 사용자 이름RES만 수락하면 발생합니다.

• 소ASCII문자, 숫자, 마침표(.), 밑줄(_)만 포함할 수 있습니다.

• 마침표 또는 밑줄은 첫 번째 또는 마지막 문자로 허용되지 않습니다.

• 두 개의 연속 마침표 또는 밑줄(예: .., __, ._, _.)을 포함할 수 없습니다.

영향을 받는 버전

2024.04.02 이하

완화

1. 패치 스크립트 및 패치 파일( patch.py 및 samaccountname_regex.patch )을 다운로드하려면 다음 명령을 실행하여 파일을 넣을 디렉터리<output-directory>로 바꿉니다.

   참고

   • 패치는 RES 2024.04.02에만 적용됩니다.

   • 패치 스크립트에는 AWS CLI v2, Python 3.9.16 이상 및 Boto3가 필요합니다.

   • RES 가 배포된 계정 및 리전에 대해 를 AWS CLI 구성하고 에서 생성한 버킷에 쓸 수 있는 S3 권한이 있는지 확인합니다RES.

   OUTPUT_DIRECTORY=<output-directory>
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch 

2. 패치 스크립트와 패치 파일이 다운로드되는 디렉터리로 이동합니다. 다음 패치 명령을 실행<environment-name>하여 를 RES 환경 이름으로 바꿉니다.

   python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch 

3. 환경의 Cluster Manager 인스턴스를 다시 시작하려면 다음 명령을 실행<environment-name>하고 를 RES 환경 이름으로 바꿉니다. Amazon EC2 Management Console에서 인스턴스를 종료할 수도 있습니다.

   ENVIRONMENT_NAME=<environment-name>
   
   INSTANCE_ID=$(aws ec2 describe-instances \
       --filters \
       Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
       Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
       --query "Reservations[0].Instances[0].InstanceId" \
       --output text)
    
   aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 

........................

(2024.04.02 이하) Bastion 호스트에 액세스하기 위한 프라이빗 키가 유효하지 않습니다.

문제

사용자가 프라이빗 키를 다운로드하여 RES 웹 포털에서 Bastion 호스트에 액세스하면 키의 형식이 좋지 않습니다. 여러 줄이 단일 줄로 다운로드되므로 키가 무효화됩니다. 다운로드한 키로 Bastion 호스트에 액세스하려고 하면 사용자에게 다음과 같은 오류가 발생합니다.

Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 

영향을 받는 버전

2024.04.02 이하

완화

이 브라우저는 영향을 받지 않으므로 Chrome을 사용하여 키를 다운로드하는 것이 좋습니다.

또는 뒤에 새 줄을 생성하고 바로 앞에 -----BEGIN PRIVATE KEY----- 다른 새 줄을 생성하여 키 파일을 다시 포맷할 수 있습니다-----END PRIVATE KEY-----.

........................

(2024.06 이하) AD 동기화 RES 중에 그룹 멤버가 에 동기화되지 않음

버그 설명

GroupOU 다른 RES 경우 그룹 멤버는 와 제대로 동기화되지 않습니다. UserOU

RES 는 AD 그룹에서 사용자를 동기화하려고 할 때 ldapsearch 필터를 생성합니다. 현재 필터는 GroupOU 파라미터 대신 UserOU 파라미터를 잘못 사용합니다. GroupOU 그 결과 검색에서 사용자를 반환하지 못합니다. 이 동작은 UsersOU와 GroupOU가 다른 인스턴스에서만 발생합니다.

영향을 받는 버전

이 문제는 모든 RES 버전 2024.06 이하에 적용됩니다.

완화

다음 단계에 따라 문제를 해결합니다.

1. patch.py 스크립트 및 group_member_sync_bug_fix.patch 파일을 다운로드하려면 다음 명령을 실행하고 파일을 다운로드하려는 <output-directory> 로컬 디렉터리<res_version>와 패치RES하려는 버전으로 바꿉니다.

   참고

   • 패치 스크립트에는 AWS CLI v2, Python 3.9.16 이상 및 Boto3가 필요합니다.

   • RES 가 배포된 계정 및 리전에 대해 를 AWS CLI 구성하고 에서 생성한 버킷에 쓸 수 있는 S3 권한이 있는지 확인합니다RES.

   • 패치는 RES 버전 2024.04.02 및 2024.06만 지원합니다. 2024.04 또는 2024.04.01을 사용하는 경우 패치를 적용하기 전에 마이너 버전 업데이트에 나열된 단계에 따라 환경을 2024.04.02로 업데이트할 수 있습니다.

     • RES 버전: RES 2024.04.02

       패치 다운로드 링크: 2024.04.02_group_member_sync_bug_fix.patch

     • RES 버전: RES 2024.06

       패치 다운로드 링크: 2024.06_group_member_sync_bug_fix.patch

   OUTPUT_DIRECTORY=<output-directory>
   RES_VERSION=<res_version>
   mkdir -p ${OUTPUT_DIRECTORY}
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch 

2. 패치 스크립트와 패치 파일이 다운로드되는 디렉터리로 이동합니다. 다음 패치 명령을 실행<environment-name>하여 를 RES 환경 이름으로 바꿉니다.

   cd ${OUTPUT_DIRECTORY}
   ENVIRONMENT_NAME=<environment-name>
   
   python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch 

3. 환경에 대한 클러스터 관리자 인스턴스를 다시 시작하려면 다음 명령을 실행합니다.

   INSTANCE_ID=$(aws ec2 describe-instances \
       --filters \
       Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
       Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
       --query "Reservations[0].Instances[0].InstanceId" \
       --output text)
    
   aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 

........................

(2024.06 이하) CVE-2024-6387, R egreSSHion, RHEL9 및 Ubuntu의 보안 취약성 VDIs

버그 설명

라는 CVE-2024-6387regreSSHion이 오픈SSH 서버에서 식별되었습니다. 이 취약성을 통해 인증되지 않은 원격 공격자는 대상 서버에서 임의 코드를 실행할 수 있으므로 보안 통신을 위해 OpenSSH을 사용하는 시스템에 심각한 위험을 초래할 수 있습니다.

RES의 경우 표준 구성은 로 베이스 호스트를 통과하여 가상 데스크톱SSH으로 이동하는 것이며, 베이스 호스트는 이 취약성의 영향을 받지 않습니다. 그러나 ALL RES 버전에서 RHEL9 및 Ubuntu2024AMI(가상 데스크톱 인프라)에 대해 제공하는 기본VDIs(Amazon Machine Image)은 보안 위협에 취약한 오픈SSH 버전을 사용합니다.

즉, 기존 RHEL9 및 Ubuntu2024를 악용할 VDIs 수 있지만 공격자는 Bastion 호스트에 액세스해야 합니다.

문제에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

영향을 받는 버전

이 문제는 모든 RES 버전 2024.06 이하에 적용됩니다.

완화

RHEL9 및 Ubuntu 모두 보안 취약성을 수정하는 OpenSSH용 패치를 릴리스했습니다. 플랫폼의 해당 패키지 관리자를 사용하여 이러한 항목을 가져올 수 있습니다.

기존 RHEL9 또는 Ubuntu 가 있는 경우 아래 PATCH EXISTING VDIs 지침을 따르는 VDIs것이 좋습니다. 향후 를 패치하려면 PATCH FUTURE VDIs 지침을 따르는 VDIs것이 좋습니다. 이 지침에서는 스크립트를 실행하여 에 플랫폼 업데이트를 적용하는 방법을 설명합니다VDIs.

PATCH EXISTING VDIs

1. 기존 Ubuntu 및 RHEL9 를 모두 패치하는 다음 명령을 실행합니다VDIs.

   1. 패치 스크립트에는 AWS CLI v2가 필요합니다.

   2. RES 가 배포된 계정 및 리전에 대해 AWS CLI를 구성하고 AWS Systems Manager Run Command를 보낼 수 있는 Systems Manager 권한이 있는지 확인합니다.

      aws ssm send-command \
          --document-name "AWS-RunRemoteScript" \
          --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
          --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}' 

2. 명령 실행 페이지에서 스크립트가 성공적으로 실행되었는지 확인할 수 있습니다. 명령 기록 탭을 클릭하고 최신 명령 ID를 선택한 다음 모든 인스턴스에 SUCCESS 메시지가 IDs 있는지 확인합니다.

PATCH FUTURE VDIs

1. 패치 스크립트 및 패치 파일( patch.py 및 update_openssh.patch )을 다운로드하려면 다음 명령을 실행하여 파일을 다운로드할 <output-directory> 디렉터리<environment-name>와 RES 환경 이름으로 바꿉니다.

   참고

   • 패치는 RES 2024.06에만 적용됩니다.

   • 패치 스크립트에는 AWS CLI v2), Python 3.9.16 이상 및 Boto3가 필요합니다.

   • RES 가 배포된 계정 및 리전에 대한 AWS CLI의 사본을 구성하고 에서 생성한 버킷에 쓸 수 있는 S3 권한이 있는지 확인합니다RES.

   OUTPUT_DIRECTORY=<output-directory>
   ENVIRONMENT_NAME=<environment-name>
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
   
   curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch 

2. 다음 패치 명령을 실행합니다.

   python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch 

3. 다음 명령을 사용하여 환경의 VDC 컨트롤러 인스턴스를 다시 시작합니다.

   INSTANCE_ID=$(aws ec2 describe-instances \
       --filters \
       Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
       Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
       --query "Reservations[0].Instances[0].InstanceId" \
       --output text)
    
   aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 

중요

패치 적용 미래VDIs는 RES 버전 2024.06 이상에서만 지원됩니다. 2024.06 이전 버전의 VDIs RES 환경에서 향후 패치를 적용하려면 먼저 의 지침에 따라 RES 환경을 2024.06으로 업그레이드합니다메이저 버전 업데이트.

........................