Masalah yang Diketahui

Masalah yang Diketahui 2024.x

Masalah yang Diketahui 2024.x

........................

(2024.12 dan 2024.12.01) Kegagalan regex saat mendaftarkan pengguna Cognito baru

Deskripsi bug

Jika Anda mencoba mendaftarkan pengguna AWS Cognito melalui portal web yang memiliki awalan email yang berisi” . “, seperti<firstname>.<lastname>@<company>.com, ini akan menghasilkan kesalahan yang menyatakan bahwa nama pengguna Cognito tidak cocok dengan pola regex yang ditentukan.

Kesalahan ini disebabkan oleh nama pengguna yang menghasilkan otomatis RES dari awalan email pengguna. Namun, nama pengguna dengan “.” bukan pengguna yang valid untuk VDI di distribusi Linux tertentu yang didukung oleh RES. Perbaikan ini menghapus “.” dalam awalan email saat membuat nama pengguna sehingga nama pengguna akan valid pada VDI RES Linux.

Versi yang terpengaruh

RES versi 2024.12 dan 2024.12.01

Mitigasi

Jalankan perintah berikut untuk mengunduh patch.py dan cognito_sign_up_email_fix.patch untuk versi 2024.12 atau cognito_sign_up_email_fix.patch untuk versi 2024.12.01, ganti <output-directory> dengan direktori tempat Anda ingin mengunduh skrip tambalan dan file tambalan, dan <environment-name> dengan nama lingkungan RES Anda:
1. Patch berlaku untuk RES 2024.12 dan 2024.12.01.
2. Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.
3. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>
RES_VERSION=<res-version> # either 2024.12 or 2024.12.01

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/cognito_sign_up_email_fix.patch --output ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch 
```

Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch

Mulai ulang instance Cluster Manager untuk lingkungan Anda. Anda juga dapat menghentikan instans dari Konsol Manajemen Amazon EC2.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Verifikasi status instans Cluster Manager dengan memeriksa aktivitas grup penskalaan otomatis yang dimulai dengan nama<RES-EnvironmentName>-cluster-manager-asg. Tunggu hingga instans baru berhasil diluncurkan.

........................

(2024.12.01 dan sebelumnya) Kesalahan sertifikat buruk tidak valid saat menghubungkan ke VDI menggunakan domain khusus

Deskripsi bug

Saat Anda menerapkan resep Sumber Daya Eksternal dan RES dengan nama domain portal khusus, CertificateRenewalNode gagal menyegarkan sertifikat TLS untuk koneksi VDI dengan kesalahan berikut di: /var/log/user-data.log


{
  "type": "urn:ietf:params:acme:error:unauthorized",
  "detail": "Error finalizing order :: OCSP must-staple extension is no longer available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
  "status": 403
}

Akibatnya, Anda akan menemukan kesalahan yang menyatakan net::ERR_CERT_DATE_INVALID (Chrome) atau Error code: SSL_ERROR_BAD_CERT_DOMAIN (FireFox) saat Anda terhubung ke VDI Anda di portal web RES.

Versi yang terpengaruh

2024.12.01 dan sebelumnya

Mitigasi

Arahkan ke konsol EC2. Jika ada instance bernamaCertificateRenewalNode-, hentikan instance.
Arahkan ke konsol Lambda. Buka kode sumber fungsi Lambda bernama. -CertificateRenewalLambda- Identifikasi garis yang menatap ./acme.sh --issue --dns dns_aws --ocsp-must-staple --keylength 4096 dan menghapus --ocsp-must-staple argumen.
Pilih Deploy dan tunggu perubahan kode diterapkan.
Untuk memicu fungsi Lambda secara manual: buka tab Uji dan kemudian pilih Uji. Tidak diperlukan input tambahan. Ini harus membuat instance EC2 sertifikat yang memperbarui Sertifikat dan PrivateKey rahasia di Secret Manager. Instance akan dihentikan secara otomatis setelah rahasia diperbarui.
Hentikan instance dcv-gateway yang ada: <env-name>-vdc-gateway dan tunggu grup penskalaan otomatis menerapkan yang baru secara otomatis.

Detail kesalahan

Let's Encrypt mengakhiri OCSP Support pada tahun 2025. Mulai 30 Januari 2025, Must-Staple permintaan OCSP akan gagal kecuali akun yang meminta sebelumnya telah mengeluarkan sertifikat yang berisi ekstensi OCSP Must Staple. Periksa https://letsencrypt.org/2024/12/05/ending-ocsp/untuk lebih jelasnya.

........................

(2024.12 dan 2024.12.01) Pengguna Direktori Aktif tidak dapat SSH ke Bastion Host

Deskripsi bug

Pengguna Active Directory menerima kesalahan izin ditolak saat mereka terhubung ke Bastion Host mengikuti instruksi dari portal web RES.

Aplikasi Python yang berjalan di Bastion Host gagal meluncurkan layanan SSSD karena variabel lingkungan yang hilang. Akibatnya, pengguna AD tidak dikenal oleh sistem operasi dan tidak dapat masuk.

Versi yang terpengaruh

2024.12 dan 2024.12.01

Mitigasi

Connect ke instans Bastion Host dari konsol EC2.
Edit /etc/environment dan tambahkan environment_name=<res-environment-name> sebagai baris baru di bawah IDEA_CLUSTER_NAME.

Jalankan perintah berikut pada instance:


source /etc/environment
sudo service supervisord restart
sudo systemctl restart supervisord

Coba sambungkan ke Bastion Host lagi mengikuti instruksi dari portal web RES.

........................

(2024.10) VDI auto stop rusak untuk lingkungan RES yang digunakan di VPC terisolasi

Deskripsi bug

Dengan rilis RES 2024.10, penghentian otomatis VDI ditambahkan untuk VDI yang menganggur untuk jangka waktu tertentu. Pengaturan ini dapat dikonfigurasi di Pengaturan Desktop → Server → Sesi.

VDI auto stop saat ini tidak didukung untuk lingkungan RES yang digunakan di VPC terisolasi.

Versi yang terpengaruh

2024.10

Mitigasi

Saat ini kami sedang mengerjakan perbaikan yang akan disertakan dalam rilis future. Namun, masih mungkin untuk menghentikan VDI secara manual di lingkungan RES yang digunakan di VPC yang terisolasi.

........................

(2024.10 dan sebelumnya) Kegagalan meluncurkan VDI untuk jenis instans yang disempurnakan Grafis

Deskripsi bug

Ketika Amazon Linux 2 - x86_64, RHEL 8 - x86_64, atau RHEL 9 x86_64 VDI diluncurkan pada jenis instans grafis yang ditingkatkan (g4, g5), instance akan macet dalam status penyediaan. Ini berarti instance tidak akan pernah sampai ke status “Siap” dan tersedia untuk koneksi.

Ini terjadi karena X Server tidak melakukan instance dengan benar pada instance. Setelah Anda menerapkan patch ini, kami juga menyarankan Anda meningkatkan ukuran volume root tumpukan perangkat lunak Anda untuk instance grafis menjadi 50gb untuk memastikan ada ruang yang cukup untuk menginstal semua dependensi.

Versi yang terpengaruh

Semua versi RES 2024.10 atau sebelumnya.

Mitigasi

Unduh patch.py dan graphic_enhanced_instance_types_fix.patch <output-directory> dengan mengganti dengan direktori tempat Anda ingin mengunduh skrip patch dan file patch dan dengan nama lingkungan RES Anda pada perintah di bawah ini: <environment-name>

Patch hanya berlaku untuk RES 2024.10.
Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.
Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.


OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patches/graphic_enhanced_instance_types_fix.patch --output ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.10 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

Untuk mengakhiri instance Virtual Desktop Controller (vdc-controller) untuk lingkungan Anda, jalankan perintah berikut, ganti nama lingkungan RES Anda di mana ditampilkan.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

Luncurkan instance baru setelah kelompok target yang dimulai dengan nama <RES-EnvironmentName>-vdc-ext menjadi sehat. Kami merekomendasikan setiap tumpukan perangkat lunak baru yang Anda daftarkan untuk instans grafis memiliki setidaknya penyimpanan 50GB.

........................

(2024.08) Mempersiapkan Kegagalan AMI Infrastruktur

Deskripsi bug

Saat Anda menyiapkan AMI menggunakan EC2 Image Builder sesuai dengan petunjuk yang tercantum dalam Dokumentasi Prasyarat, proses pembangunan gagal dengan pesan galat berikut:


CmdExecution: [ERROR] Command execution has resulted in an error

Ini karena kesalahan dalam file dependensi yang disediakan dalam dokumentasi.

Versi yang terpengaruh

2024.08

Mitigasi

Buat sumber daya EC2 Image Builder baru:

(Ikuti langkah-langkah ini jika Anda belum pernah menyiapkan AMI untuk instans RES)

Unduh file res-installation-scripts.tar.gz yang diperbarui.
Ikuti langkah-langkah yang tercantum di bawah Siapkan Gambar Mesin Amazon (AMI) di halaman Prasyarat.

Menggunakan kembali sumber EC2 Image Builder sebelumnya:

(Ikuti langkah-langkah ini jika Anda telah menyiapkan AMI untuk instans RES)

Unduh file res-installation-scripts.tar.gz yang diperbarui.
Arahkan ke EC2 Image Builder → Komponen → Klik pada Komponen yang dibuat untuk menyiapkan RES AMI.
Perhatikan lokasi S3 yang tercantum di bawah Konten → DownloadRESInstallScripts langkah → input → sumber.
Lokasi S3 yang ditemukan di atas berisi file dependensi yang sebelumnya digunakan, ganti file ini dengan file yang diunduh pada langkah pertama.

........................

(2024.08) Desktop virtual gagal memasang bucket Amazon S3 read/write dengan root bucket ARN dan awalan khusus

Deskripsi bug

Research and Engineering Studio 2024.08 gagal memasang bucket read/write S3 ke instance infrastruktur desktop virtual (VDI) saat menggunakan bucket root ARN (yaitu,arn:aws:s3:::example-bucket) dan awalan khusus (nama proyek atau nama proyek dan nama pengguna).

Konfigurasi bucket yang tidak terpengaruh oleh masalah ini meliputi:

ember hanya-baca
read/write bucket dengan awalan sebagai bagian dari bucket ARN (yaitu,arn:aws:s3:::example-bucket/example-folder-prefix) dan awalan kustom (nama proyek atau nama proyek dan nama pengguna)
read/write ember dengan ember root ARN, tetapi tidak ada awalan khusus

Setelah Anda menyediakan instance VDI, direktori mount yang ditentukan untuk bucket S3 tersebut tidak akan memiliki bucket yang terpasang. Meskipun direktori mount pada VDI akan ada, direktori akan kosong dan tidak akan berisi konten bucket saat ini. Saat Anda menulis file ke direktori menggunakan terminal, kesalahan Permission denied, unable to write a file akan dilemparkan dan konten file tidak akan diunggah ke ember S3 yang sesuai.

Versi yang terpengaruh

2024.08

Mitigasi

Untuk mengunduh skrip patch dan file patch (patch.pydans3_mount_custom_prefix_fix.patch), jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin mengunduh skrip patch dan file patch dan <environment-name> dengan nama lingkungan RES Anda:
1. Patch hanya berlaku untuk RES 2024.08.
2. Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.
3. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES diterapkan, dan pastikan Anda memiliki izin Amazon S3 untuk menulis ke bucket yang dibuat oleh RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch 
```

Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

Untuk mengakhiri instance Virtual Desktop Controller (vdc-controller) untuk lingkungan Anda, jalankan perintah berikut. (Anda sudah mengatur ENVIRONMENT_NAME variabel ke nama lingkungan RES Anda di langkah pertama.)
```
INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID} 
```
catatan
Untuk pengaturan VPC pribadi, jika Anda belum melakukannya, untuk <RES-EnvironmentName>-vdc-custom-credential-broker-lambda fungsi pastikan untuk menambahkan Environment variable dengan nama AWS_STS_REGIONAL_ENDPOINTS dan nilai. regional Untuk informasi selengkapnya, lihat Prasyarat bucket Amazon S3 untuk penerapan VPC yang terisolasi.
Setelah grup target yang dimulai dengan nama <RES-EnvironmentName>-vdc-ext menjadi sehat, VDI baru perlu diluncurkan yang akan memiliki bucket read/write S3 dengan root bucket ARN dan awalan khusus dipasang dengan benar.

........................

(2024.06) Menerapkan snapshot gagal saat nama grup AD berisi spasi

Masalah

RES 2024.06 gagal menerapkan snapshot dari versi sebelumnya jika grup AD berisi spasi dalam namanya.

CloudWatch Log pengelola klaster (di bawah grup /<environment-name>/cluster-manager log) akan menyertakan kesalahan berikut selama sinkronisasi AD:


[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$

Kesalahan hasil dari RES hanya menerima nama grup yang memenuhi persyaratan berikut:

Ini hanya dapat berisi huruf kecil dan huruf besar ASCII, digit, tanda hubung (-), periode (.), dan garis bawah (_)
Tanda hubung (-) tidak diperbolehkan sebagai karakter pertama
Tidak dapat berisi spasi.

Versi yang terpengaruh

2024.06

Mitigasi

Untuk mengunduh skrip patch dan file patch (patch.py dan groupname_regex.patch), jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin meletakkan file, dan <environment-name> dengan nama lingkungan RES Anda:
1. Patch hanya berlaku untuk RES 2024.06
2. Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.
3. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES:
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch 
```

Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut:


python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch

Untuk memulai ulang instance Cluster Manager untuk lingkungan Anda, jalankan perintah berikut: Anda juga dapat menghentikan instance dari Amazon EC2 Management Console.


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

catatan

Patch memungkinkan nama grup AD berisi huruf ASCII huruf kecil dan huruf besar ASCII, digit, tanda hubung (-), periode (.), garis bawah (_), dan spasi dengan panjang total antara 1 dan 30, inklusif.

........................

(2024.06 dan sebelumnya) Anggota grup tidak disinkronkan ke RES selama sinkronisasi AD

Deskripsi bug

Anggota grup tidak akan melakukan sinkronisasi dengan benar ke RES jika GrouPou berbeda dari UseRou.

RES membuat filter ldapsearch saat mencoba menyinkronkan pengguna dari grup AD. Filter saat ini salah menggunakan parameter UseRou alih-alih parameter GrouPou. Hasilnya adalah pencarian gagal mengembalikan pengguna mana pun. Perilaku ini hanya terjadi dalam kasus di mana userSou dan GrouPou berbeda.

Versi yang terpengaruh

Semua versi RES 2024.06 atau sebelumnya

Mitigasi

Ikuti langkah-langkah ini untuk mengatasi masalah:

Untuk mengunduh skrip patch.py dan file group_member_sync_bug_fix.patch, jalankan perintah berikut, ganti <output-directory> dengan direktori lokal tempat Anda ingin mengunduh file, dan dengan versi RES yang ingin Anda tambal: <res_version>
catatan
- Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.
- Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.
- Patch hanya mendukung versi RES 2024.04.02 dan 2024.06. Jika Anda menggunakan 2024.04 atau 2024.04.01, Anda dapat mengikuti langkah-langkah yang tercantum untuk memperbarui lingkungan Anda terlebih dahulu Pembaruan versi minor ke 2024.04.02 sebelum menerapkan tambalan.
  
  Versi RES: RES 2024.04.02
  
  Tautan unduhan tambalan: 2024.04.02_group_member_sync_bug_fix.patch
  
  Versi RES: RES 2024.06
  
  Tautan unduhan tambalan: 2024.06_group_member_sync_bug_fix.patch
```
OUTPUT_DIRECTORY=<output-directory>
RES_VERSION=<res_version>
mkdir -p ${OUTPUT_DIRECTORY}

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch 
```

Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda:


cd ${OUTPUT_DIRECTORY}
ENVIRONMENT_NAME=<environment-name>

python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch

Untuk memulai ulang instance pengelola klaster untuk lingkungan Anda, jalankan perintah berikut:


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.06 dan sebelumnya) CVE-2024-6387, Regresshion, Kerentanan Keamanan di RHEL9 dan Ubuntu VDI

Deskripsi bug

CVE-2024-6387, dijuluki Regresshion, telah diidentifikasi di server OpenSSH. Kerentanan ini memungkinkan penyerang jarak jauh dan tidak diautentikasi untuk mengeksekusi kode arbitrer pada server target, menghadirkan risiko parah pada sistem yang memanfaatkan OpenSSH untuk komunikasi yang aman.

Untuk RES, konfigurasi standar adalah melalui host bastion ke SSH ke desktop virtual, dan host bastion tidak terpengaruh oleh kerentanan ini. Namun, AMI default (Amazon Machine Image) yang kami sediakan untuk RHEL9 dan Ubuntu2024 VDI (Virtual Desktop Infrastructure) di SEMUA versi RES menggunakan versi OpenSSH yang rentan terhadap ancaman keamanan.

Ini berarti bahwa VDI RHEL9 dan Ubuntu2024 yang ada dapat dieksploitasi, tetapi penyerang akan memerlukan akses ke host benteng.

Rincian lebih lanjut tentang masalah ini dapat ditemukan di sini.

Versi yang terpengaruh

Semua versi RES 2024.06 atau sebelumnya.

Mitigasi

Baik RHEL9 dan Ubuntu telah merilis patch untuk OpenSSH yang memperbaiki kerentanan keamanan. Ini dapat ditarik menggunakan manajer paket masing-masing platform.

Jika Anda memiliki VDI RHEL9 atau Ubuntu, sebaiknya ikuti petunjuk PATCH EXISTING VDI di bawah ini. Untuk menambal VDI future, kami sarankan untuk mengikuti petunjuk PATCH FUTURE VDI. Instruksi ini menjelaskan cara menjalankan skrip untuk menerapkan pembaruan platform pada VDI Anda.

PATCH VDI YANG ADA

Jalankan perintah berikut yang akan menambal semua VDI Ubuntu dan RHEL9 yang ada:

Skrip patch membutuhkan AWS CLI v2.

Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin AWS Systems Manager untuk mengirim perintah Systems Manager Run.


aws ssm send-command \
    --document-name "AWS-RunRemoteScript" \
    --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
    --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}'

Anda dapat memverifikasi skrip berjalan dengan sukses di halaman Run Command. Klik pada tab Command History, pilih Command ID terbaru, dan verifikasi bahwa semua ID instance memiliki pesan SUCCESS.

PATCH VDI MASA DEPAN

Untuk mengunduh skrip patch dan file patch (patch.py dan update_openssh.patch) jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin mengunduh file, dan <environment-name> dengan nama lingkungan RES Anda:
catatan
- Patch hanya berlaku untuk RES 2024.06.
- Skrip patch membutuhkan AWS CLI v2), Python 3.9.16 atau lebih tinggi, dan Boto3.
- Konfigurasikan salinan AWS CLI Anda untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.
```
OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch 
```

Jalankan perintah patch berikut:


python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch

Mulai ulang instance VDC Controller untuk lingkungan Anda dengan perintah berikut:


INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

penting

Menambal VDI future hanya didukung pada RES versi 2024.06 dan yang lebih baru. Untuk menambal VDI masa depan di lingkungan RES dengan versi lebih awal dari 2024.06, pertama-tama tingkatkan lingkungan RES ke 2024.06 menggunakan instruksi di:. Pembaruan versi utama

........................

(2024.04-2024.04.02) Memberikan Batas Izin IAM yang tidak dilampirkan ke peran instans VDI

Masalah

Sesi desktop virtual tidak mewarisi konfigurasi batas izin proyek mereka dengan benar. Ini adalah hasil dari batas izin yang ditentukan oleh IAMPermissionBoundary parameter yang tidak ditetapkan dengan benar ke proyek selama pembuatan proyek tersebut.

Versi yang terpengaruh

2024.04 - 2024.04.02

Mitigasi

Ikuti langkah-langkah ini untuk memungkinkan VDI mewarisi batas izin yang ditetapkan ke proyek dengan benar:

Untuk mengunduh skrip patch dan file patch (patch.py dan vdi_host_role_permission_boundary.patch), jalankan perintah berikut, ganti dengan direktori lokal tempat Anda ingin meletakkan file: <output-directory>
1. Patch hanya berlaku untuk RES 2024.04.02. Jika Anda menggunakan versi 2024.04 atau 2024.04.01, Anda dapat mengikuti langkah-langkah yang tercantum dalam dokumen publik untuk pembaruan versi minor untuk memperbarui lingkungan Anda ke 2024.04.02.
2. Skrip patch membutuhkan AWS CLI v2), Python 3.9.16 atau lebih tinggi, dan Boto3.
3. Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch 
```

Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda:


python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch

Mulai ulang instance pengelola klaster di lingkungan Anda dengan menjalankan perintah ini, ganti <environment-name> dengan nama lingkungan RES Anda. Anda juga dapat menghentikan instans dari Konsol Manajemen Amazon EC2.


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 dan sebelumnya) Instans Windows NVIDIA di ap-southeast-2 (Sydney) gagal diluncurkan

Masalah

Amazon Machine Images (AMI) digunakan untuk memutar virtual desktop (VDI) di RES dengan konfigurasi tertentu. Setiap AMI memiliki ID terkait yang berbeda per wilayah. ID AMI yang dikonfigurasi dalam RES untuk meluncurkan instance Windows Nvidia di ap-southeast-2 (Sydney) saat ini salah.

AMI-ID ami-0e190f8939a996cafuntuk jenis konfigurasi instance ini salah tercantum di ap-southeast-2 (Sydney). ID AMI ami-027cf6e71e2e442f4 harus digunakan sebagai gantinya.

Pengguna akan mendapatkan kesalahan berikut saat mencoba meluncurkan instance dengan ami-0e190f8939a996caf AMI default.


An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist

Langkah-langkah untuk mereproduksi bug, termasuk contoh file konfigurasi:

Menyebarkan RES di wilayah ap-southeast-2.
Luncurkan instance menggunakan tumpukan perangkat lunak Windows-NVIDIA default (AMI IDami-0e190f8939a996caf).

Versi yang terpengaruh

Semua versi RES 2024.04.02 atau sebelumnya terpengaruh

Mitigasi

Mitigasi berikut telah diuji pada RES versi 2024.01.01:

Daftarkan tumpukan perangkat lunak baru dengan pengaturan berikut
- ID AMI: ami-027cf6e71e2e442f4
- Sistem Operasi: Windows
- Produsen GPU: NVIDIA
- Min. Ukuran Penyimpanan (GB): 30
- Min. RAM (GB): 4
Gunakan tumpukan perangkat lunak ini untuk meluncurkan Windows-NVIDIA instance

........................

(2024.04 dan 2024.04.01) Kegagalan penghapusan RES di GovCloud

Masalah

Selama alur kerja penghapusan RES, UnprotectCognitoUserPool Lambda menonaktifkan Perlindungan Penghapusan untuk Kumpulan Pengguna Cognito yang nantinya akan dihapus. Eksekusi Lambda dimulai oleh. InstallerStateMachine

Karena perbedaan versi AWS CLI default antara Komersil dan GovCloud wilayah, update_user_pool panggilan di Lambda akan gagal di wilayah. GovCloud

Pelanggan akan mendapatkan kesalahan berikut saat mencoba menghapus RES di GovCloud wilayah:


Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

Langkah-langkah untuk mereproduksi bug:

Menyebarkan RES di suatu wilayah GovCloud
Hapus tumpukan RES

Versi yang terpengaruh

RES versi 2024.04 dan 2024.04.01

Mitigasi

Mitigasi berikut telah diuji pada RES versi 2024.04:

Buka UnprotectCognitoUserPool Lambda
- Konvensi penamaan: <env-name>-InstallerTasksUnprotectCognitoUserPool-...
Pengaturan Runtime -> Edit -> Pilih Runtime Python 3.11 -> Simpan.
Terbuka CloudFormation.
Hapus tumpukan RES -> biarkan Retain Installer Resource TIDAK DICENTANG -> Hapus.

........................

(2024.04 - 2024.04.02) Desktop virtual Linux mungkin macet dalam status “MELANJUTKAN” saat reboot

Masalah

Desktop virtual Linux dapat terjebak dalam status “MELANJUTKAN” saat memulai ulang setelah pemberhentian manual atau terjadwal.

Setelah instance di-boot ulang, AWS Systems Manager tidak menjalankan perintah jarak jauh apa pun untuk membuat sesi DCV baru dan pesan log berikut hilang di log vdc-controller (di bawah grup CloudWatch log): /<environment-name>/vdc/controller CloudWatch


Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT

Versi yang terpengaruh

2024.04 - 2024.04.02

Mitigasi

Untuk memulihkan desktop virtual yang terjebak dalam status “MELANJUTKAN”:

SSH ke dalam instance masalah dari konsol EC2.

Jalankan perintah berikut pada instance:


sudo su -
/bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
sudo reboot

Tunggu instance untuk reboot.

Untuk mencegah desktop virtual baru mengalami masalah yang sama:

Untuk mengunduh skrip patch dan file patch (patch.py dan vdi_stuck_in_resuming_status.patch), jalankan perintah berikut, ganti dengan direktori tempat Anda ingin meletakkan file: <output-directory>
catatan
- Patch hanya berlaku untuk RES 2024.04.02.
- Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.
- Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch 
```
Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda dan <aws-region> dengan wilayah tempat RES digunakan:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region> 
```

Untuk memulai ulang instance VDC Controller untuk lingkungan Anda, jalankan perintah berikut, ganti <environment-name> dengan nama lingkungan RES Anda:


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 dan sebelumnya) Gagal menyinkronkan pengguna AD yang SAMAccountName atributnya menyertakan huruf kapital atau karakter khusus

Masalah

RES gagal menyinkronkan pengguna AD setelah SSO diatur setidaknya selama dua jam (dua siklus sinkronisasi AD). CloudWatch Log pengelola klaster (di bawah grup /<environment-name>/cluster-manager log) menyertakan kesalahan berikut selama sinkronisasi AD:


Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$

Kesalahan hasil dari RES hanya menerima nama pengguna SamAccount yang memenuhi persyaratan berikut:

Itu hanya dapat berisi huruf ASCII kecil, digit, periode (.), garis bawah (_).
Periode atau garis bawah tidak diperbolehkan sebagai karakter pertama atau terakhir.
Itu tidak dapat berisi dua periode berkelanjutan atau garis bawah (misalnya.., __, ._, _.).

Versi yang terpengaruh

2024.04.02 dan sebelumnya

Mitigasi

Untuk mengunduh skrip patch dan file patch (patch.py dan samaccountname_regex.patch), jalankan perintah berikut, ganti <output-directory> dengan direktori tempat Anda ingin meletakkan file:
catatan
- Patch hanya berlaku untuk RES 2024.04.02.
- Skrip patch membutuhkan AWS CLI v2, Python 3.9.16 atau lebih tinggi, dan Boto3.
- Konfigurasikan AWS CLI untuk akun dan wilayah tempat RES digunakan, dan pastikan Anda memiliki izin S3 untuk menulis ke bucket yang dibuat oleh RES.
```
OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch 
```
Arahkan ke direktori tempat skrip patch dan file patch diunduh. Jalankan perintah patch berikut, ganti <environment-name> dengan nama lingkungan RES Anda:
```
python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch 
```

Untuk memulai ulang instance Cluster Manager untuk lingkungan Anda, jalankan perintah berikut, ganti <environment-name> dengan nama lingkungan RES Anda. Anda juga dapat menghentikan instans dari Konsol Manajemen Amazon EC2.


ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 dan sebelumnya) Kunci pribadi untuk mengakses host bastion tidak valid

Masalah

Ketika pengguna mengunduh kunci pribadi untuk mengakses host bastion dari portal web RES, kuncinya tidak diformat dengan baik — beberapa baris diunduh sebagai satu baris, yang membuat kunci tidak valid. Pengguna akan mendapatkan kesalahan berikut ketika mereka mencoba mengakses host bastion dengan kunci yang diunduh:


Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

Versi yang terpengaruh

2024.04.02 dan sebelumnya

Mitigasi

Kami merekomendasikan menggunakan Chrome untuk mengunduh kunci, karena browser ini tidak terpengaruh.

Atau, file kunci dapat diformat ulang dengan membuat baris baru setelah -----BEGIN PRIVATE KEY----- dan baris baru lainnya tepat sebelumnya. -----END PRIVATE KEY-----

........................

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Masalah RunBooks

Kebijakan dukungan Studio Penelitian dan Teknik