Es wird eine veraltete Version dieses Sicherheitsberichts angezeigt. Die aktuelle Version finden Sie unter: "Informationen zu Forschungsergebnissen zur spekulativen Ausführung bei Prozessoren".

Betreff: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Aktualisierung vom: 13.01.2018 13:00 Uhr PST

Hierbei handelt es sich um eine Aktualisierung zu diesem Problem.

Eine zweite Kernel-Version für Amazon Linux ist verfügbar, die KPTI-Fehler behebt und die Problembehebungen in Bezug auf CVE-2017-5754 verbessert. Kunden müssen ein Upgrade auf den neuesten Amazon Linux-Kernel oder AMI durchführen, damit die Probleme zwischen Prozessen gemäß CVE-2017-5754 in ihren Instances wirksam behoben werden. Weitere Informationen finden Sie weiter unten unter "Amazon Linux AMI".  

Unten finden Sie unter "PV Instance-Empfehlungen" weitere Informationen zu paravirtualisierten (PV) Instances.

Amazon EC2

Alle Instances in der Amazon EC2-Flotte sind vor allen bekannten Problemen zwischen Instances der zuvor aufgelisteten CVEs geschützt. Bei Problemen zwischen Instances wird davon ausgegangen, dass eine nicht vertrauenswürdige Nachbar-Instance den Speicher einer anderen Instance oder des AWS Hypervisors auslesen könnte. Dieses Problem wurde für AWS Hypervisors behoben. Keine Instance kann den Speicher einer anderen Instance oder den ASW Hypervisor-Speicher lesen. Wie bereits angegeben, haben wir bei der Mehrheit aller EC2 Workloads keine spürbaren Auswirkungen auf die Leistung festgestellt.

Wir haben eine kleine Anzahl von Instance- und Anwendungsabstürzen festgestellt, die durch die Aktualisierung des Intel-Mikrocodes verursacht wurden, und arbeiten direkt mit den betroffenen Kunden zusammen. Wir haben gerade Teile des neuen Intel-CPU-Mikrocodes für die Plattformen in AWS deaktiviert, auf denen wir diese Probleme beobachtet haben. Dies scheint das Problem für die entsprechenden Instances gemindert zu haben. Alle Instances in der Amazon EC2-Flotte bleiben vor allen bekannten Bedrohungsvektoren geschützt. Der deaktivierte Intel-Mikrocode bietet zusätzlichen Schutz vor theoretischen Bedrohungsvektoren aus Ausgabe CVE-2017-5715. Wir gehen davon aus, dass diese zusätzlichen Schutzfunktionen (zusammen mit einigen zusätzlichen Leistungsoptimierungen, an denen wir gearbeitet haben) in naher Zukunft wieder aktiviert werden können, sobald Intel einen aktualisierten Mikrocode zur Verfügung stellt.

Empfohlene Maßnahmen für AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce und Amazon Lightsail

Alle Instances der Kunden sind zwar wie oben beschrieben geschützt, wir empfehlen aber dennoch, dass die Kunden Patches für die Betriebssysteme ihrer Instances durchführen, um Software zu isolieren, die innerhalb der gleichen Instance ausgeführt wird, und die in CVE-2017-5754 beschriebenen Probleme zwischen Prozessen zu mindern. Weitere Informationen finden Sie in den spezifischen Anweisungen der Anbieter zur Verfügbarkeit und Bereitstellung von Patches.

Spezifische Anweisungen der Anbieter:

Wenn Ihr Betriebssystem hier nicht aufgelistet ist, wenden Sie sich an den Anbieter Ihres Betriebssystems oder AMI, um Aktualisierungen und Anweisungen zu erhalten.

PV Instance-Empfehlungen

Anhand laufender Forschungen und detaillierter Analysen der verfügbaren Patches zu diesem Problem für die Betriebssysteme haben wir ermittelt, dass der Schutz der Betriebssysteme für Fehler zwischen Prozessen paravirtualisierter (PV) Instances unzureichend ist. PV Instances werden zwar von AWS Hypervisors wie oben beschrieben vor Problemen zwischen Instances geschützt, wir empfehlen aber Kunden, die um die Prozessisolation in ihren PV Instances besorgt sind (z. B. in Bezig auf die Verarbeitung nicht vertrauenswürdiger Daten, die Ausführung von nicht vertrauenswürdigem Code, das Hosten nicht vertrauenswürdiger Benutzer), für langfristige Sicherheitsvorteile auf HVM Instance-Typen zu migrieren.

Weitere Informationen zu den Unterschieden zwischen PV und HVM (sowie die Dokumentation des Pfads für das Upgrade von Instances) finden Sie unter:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Bitte wenden Sie sich an den Support, wenn Sie bei einem Upgrade-Pfad für PV Instances Unterstützung benötigen.

Aktualisierungen weiterer AWS-Services

Bei den folgenden Services war das Patchen von im Namen von Kunden verwalteten EC2-Instances erforderlich. Die Arbeiten sind jetzt abgeschlossen und es besteht kein Handlungsbedarf vonseiten der Kunden:

  • Fargate
  • Lambda

Sofern nicht anders angegeben besteht bei allen weiteren AWS-Services kein Handlungsbedarf vonseiten des Kunden.

Amazon Linux AMI (Berichts-ID: ALAS-2018-939)

Ein aktualisierter Kernel für Amazon Linux steht in den Amazon Linux-Repositorys zur Verfügung. EC2-Instances, die mit der Amazon Linux-Standardkonfiguration ab dem 8. Januar 2018 gestartet werden, enthalten automatisch das aktualisierte Paket, das KPTI-Fehler behebt und die Problembehebung für CVE-2017-5754 verbessert.

HINWEIS: Kunden müssen ein Upgrade auf den neuesten Amazon Linux-Kernel oder AMI durchführen, damit CVE-2017-5754 in ihren Instances wirksam behoben wird. Wir werden weiterhin Amazon Linux-Verbesserungen und aktualisierte Amazon Linux-AMIs bereitstellen und Open-Source-Beiträge der Linux-Community integrieren, die auf dieses Problem abzielen, sobald sie verfügbar sind.

Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:

sudo yum update kernel

Wie bei jedem Update des Linux-Kernels ist nach Abschluss des yum-Updates standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden.

Weitere Informationen zu diesem Bericht finden Sie im Amazon Linux AMI-Sicherheitszentrum.

Führen Sie bei Amazon Linux 2 die oben beschriebenen Anweisungen für Amazon Linux aus.

EC2 Windows

Wir haben AWS Windows-AMIs aktualisiert. Diese können von den Kunden jetzt verwendet werden. Der notwendige Patch ist für AWS Windows-AMIs installiert und die Registrierungsschlüssel sind aktiviert.

Microsoft hat Windows-Patches für Server 2008R2, 2012R2 und 2016 bereitgestellt. Patches sind über den integrierten Windows Update-Dienst für Server 2016 verfügbar. Zur Verfügbarkeit von Patches für Server 2003, 2008SP2 und 2012RTM haben wir von Microsoft noch keine Informationen erhalten.

AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die automatische Updates aktualisiert sind, müssen die automatischen Updates ausführen, um die erforderliche Aktualisierung für Windows herunterzuladen und zu installieren, wenn sie verfügbar ist.

Bitte beachten Sie, dass Patches für 2008R2 und 2012R2 derzeit über Windows Update nicht verfügbar sind und manuell heruntergeladen werden müssen. Microsoft hatte zuvor bekannt gegeben, dass diese Patches am Dienstag, den 9. Januar verfügbar sind, wir haben jedoch noch keine Informationen zu ihrer Verfügbarkeit erhalten.

AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die automatische Updates nicht aktualisiert sind, müssen die erforderliche Aktualisierung manuell installieren, wenn diese verfügbar ist. Befolgen Sie dafür die folgenden Anweisungen: http://windows.microsoft.com/de-de/windows7/install-windows-updates.

Bitte beachten Sie, dass Microsoft für Windows Server zusätzliche Schritte erfordert, damit die Schutzfunktionen in Bezug auf dieses Problem aktiviert werden. Diese Schritte sind hier beschrieben: https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

ECS-optimiertes AMI

Wir haben die für Amazon ECS optimierte AMI-Version 2017.09.f entwickelt. Diese umfasst alle Schutzmaßnahmen in Bezug auf dieses Problem für Amazon Linux, einschließlich des zuvor erwähnten zweiten Amazon Linux-Kernel-Updates. Wir empfehlen allen Amazon ECS-Kunden das Upgrade auf diese aktuelle Version, die im AWS Marketplace erhältlich ist. Wir werden weiterhin Verbesserungen für Amazon Linux einführen, sobald diese verfügbar sind.

Kunden, die vorhandene, für ECS optimierte AMI Instances aktualisieren möchten, müssen den folgenden Befehl ausführen, um das Aktualisierungspaket zu erhalten:

sudo yum update kernel

Wie bei jedem Update des Linux-Kernels ist nach Abschluss des yum-Updates standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden.

Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, wird empfohlen, sich für Aktualisierungen und Anweisungen an den jeweiligen Betriebssystem-, Software- oder AMI-Drittanbieter zu wenden. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux AMI-Sicherheitszentrum.

Wir aktualisieren das für Amazon ECS optimierte Windows-AMI und aktualisieren diesen Bericht, sobald es erforderlich ist. Microsoft hat Windows-Patches für Server 2016 bereitgestellt. Weitere Informationen dazu, wie die Patches auf ausgeführte Instances angewendet werden, finden Sie unter https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Elastic Beanstalk

Wir haben alle Linux-basierten Plattformen so aktualisiert, dass sie alle die Amazon Linux Schutzmaßnahmen für dieses Problem beinhalten. Siehe Versionshinweise für spezifische Plattformversionen. Kunden, die Elastic Beanstalk nutzen, empfehlen wir die Aktualisierung ihrer Umgebungen auf die neuesten verfügbaren Plattformversionen. Umgebungen mit verwalteten Aktualisierungen werden automatisch während des konfigurierten Wartungsfensters aktualisiert.

Windows-basierte Plattformen wurden auch so aktualisiert, dass alle Schutzmaßnahmen für EC2 Windows für dieses Problem eingeschlossen sind. Den Kunden wird empfohlen, Windows-basierte Elastic Beanstalk-Umgebungen auf die neueste verfügbare Plattformkonfiguration zu aktualisieren.

ElastiCache

Mit ElastiCache verwaltete Cache-Knoten von Kunden sind jeweils nur für die Ausführung einer Cache-Engine für einen einzigen Kunden bestimmt. Sie haben keine vom Kunden aufrufbaren Prozesse und die Kunden können auf der zugrunde liegenden Instance keinen Code ausführen. Da AWS den Schutz der gesamten Infrastruktur , die ElastiCache zugrunde liegt, abgeschlossen hat, sollten für die Kunden keine Probleme zwischen Prozessen und Kernel bzw. zwischen Prozessen untereinander auftreten. Für beide Cache Engines, die von ElastiCache unterstützt werden, sind zu diesem Zeitpunkt keine Probleme zwischen den Prozessen bekannt.

EMR

Amazon EMR startet Cluster von Amazon EC2-Instances, die auf Amazon Linux ausgeführt werden, im Namen von Kunden in deren Konto. Kunden, die um die Prozessisolierung innerhalb der Instances ihrer Amazon EMR-Cluster besorgt sind, sollten wie oben empfohlen ein Upgrade auf den neuesten Amazon Linux-Kernel durchführen. Wir sind dabei, den neuesten Amazon Linux-Kernel in eine neue Nebenversion für den Zweig 5.11.x und den Zweig 4.9.x zu integrieren. Kunden werden mit diesen Versionen neue Amazon EMR-Cluster erstellen können. Wir werden diesen Bericht aktualisieren, sobald diese Versionen verfügbar sind.

Für aktuelle Amazon EMR-Versionen und dazugehörige ausgeführte Instances der Kunden empfehlen wir die Aktualisierung auf den neuesten Amazon Linux-Kernel wie oben empfohlen. Im Fall neuer Cluster können Kunden eine Bootstrap-Aktion zur Aktualisierung des Linux-Kernels verwenden und jede Instance neu starten. Für Cluster, die bereits ausgeführt werden, können Kunden das Linux-Kernel-Update rollierend für jede Instance im Cluster ausführen und diese neu starten. Beachten Sie, dass sich der Neustart bestimmter Prozesse auf laufende Anwendungen im Cluster auswirken kann.

RDS

Mit RDS verwaltete Datenbank-Instances von Kunden sind jeweils nur für die Ausführung einer Datenbank-Engine für einen einzigen Kunden bestimmt. Sie haben keine vom Kunden aufrufbaren Prozesse und die Kunden können auf der zugrunde liegenden Instance keinen Code ausführen. Da AWS den Schutz der gesamten Infrastruktur, die RDS zugrunde liegt, abgeschlossen hat, sollten für den Kunden keine Probleme zwischen Prozessen und Kernel bzw. zwischen Prozessen untereinander auftreten. Für die meisten Datenbanken, die von RDS unterstützt werden, sind zu diesem Zeitpunkt keine Probleme zwischen den Prozessen bekannt. Weitere für die Datenbank-Engine spezifische Informationen finden Sie unten. Sofern nicht anders angegeben, besteht vonseiten der Kunden kein Handlungsbedarf.

Für RDS for SQL Server-Datenbank-Instances werden wir Betriebssystem- und Datenbankmodul-Patches veröffentlichen, sobald Microsoft diese zur Verfügung stellt, sodass Kunden zu einem Zeitpunkt ihrer Wahl ein Upgrade durchführen können. Wir werden diesen Bericht aktualisieren, sobald eines der beiden abgeschlossen ist. In der Zwischenzeit sollten Kunden, die CLR aktiviert haben (standardmäßig deaktiviert), die folgenden Microsoft-Richtlinien zum Deaktivieren der CLR-Erweiterung lesen: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

RDS PostgreSQL und Aurora PostgreSQL: Bei DB Instances, die in der Standardkonfiguration ausgeführt werden, besteht vonseiten der Kunden derzeit kein Handlungsbedarf. Wir bieten den Benutzern von plv8-Erweiterungen entsprechende Patches, sobald diese erhältlich sind. In der Zwischenzeit sollten Kunden, die plv8-Erweiterungen aktiviert haben (standardmäßig deaktiviert), diese ggf. deaktivieren und folgende V8-Empfehlungen beachten: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

RDS for MariaDB, RDS for MySQL, Aurora MySQL und RDS for Oracle Database Instances: Vonseiten der Kunden besteht derzeit kein Handlungsbedarf.

VMware Cloud on AWS

Laut VMware sind die in VMSA-2018-0002 beschriebenen Korrekturmaßnahmen seit Anfang Dezember 2017 in VMware Cloud on AWS vorhanden.

Weitere Einzelheiten finden Sie im VMware Security & Compliance Blog. Den aktuellen Status können Sie unter https://status.vmware-services.io einsehen.

WorkSpaces

Für Kunden, die die Windows 7-Oberfläche unter Windows Server 2008 R2 verwenden:

Microsoft hat neue Sicherheits-Updates für Windows Server 2008 R2 in Bezug auf dieses Problem veröffentlicht. Für eine erfolgreiche Bereitstellung dieser Aktualisierungen ist eine kompatible Antiviren-Software erforderlich, die auf dem Server wie im Sicherheits-Update von Microsoft angegeben ausgeführt wird: https://support.microsoft.com/de-de/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. WorkSpaces-Kunden müssen selbst Maßnahmen ergreifen, um diese Aktualisierungen zu erhalten. Führen Sie die folgenden Anweisungen von Microsoft aus: https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Für Kunden, die die Windows 10-Oberfläche unter Windows Server 2016 verwenden:

AWS hat Sicherheits-Updates auf WorkSpaces angewendet, auf denen die Windows 10-Oberfläche unter Windows Server 2016 ausgeführt wird. Windows 10 verfügt über die integrierte Antiviren-Software Windows Defender, die mit diesen Sicherheits-Updates kompatibel ist. Vonseiten der Kunden besteht kein Handlungsbedarf.

Kunden mit eigener Lizenz und geänderten Standardeinstellungen für die Aktualisierung:

Kunden, die WorkSpaces mit eigener Lizenz nutzen oder die Standardeinstellungen für die Aktualisierung in WorkSpaces geändert haben, müssen die von Microsoft bereitgestellten Sicherheits-Updates manuell anwenden. Wenn das auf Sie zutrifft, führen Sie die folgenden Anweisungen von Microsoft Security Advisory aus: https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180002. Hier finden Sie Links zu Knowledge Base-Artikeln für Windows Server- und Client-Betriebssysteme, die detailliertere Informationen enthalten.

Aktualisierte WorkSpaces-Pakete werden bald mit den Sicherheits-Updates verfügbar sein. Kunden, die benutzerdefinierte Pakete erstellt haben, müssen diese Pakete selbst aktualisieren, damit sie die Sicherheits-Updates enthalten. Neue WorkSpaces, die von noch nicht aktualisierten Paketen ausgeführt werden, erhalten kurz nach dem Start Patches, sofern die Kunden die Standardeinstellung für die Aktualisierung in ihrem WorkSpace nicht geändert oder inkompatible Antiviren-Software installiert haben. In diesem Fall müssen Sie die obigen Schritte zum manuellen Anwenden der von Microsoft bereitgestellten Updates befolgen.

WorkSpaces Application Manager (WAM)

Wir empfehlen den Kunden, eine der folgenden Handlungsweisen zu wählen:

Option 1: Wenden Sie die Microsoft-Updates manuell auf ausgeführte Instanzen von WAM Packager und Validator an. Führen Sie dazu die Anweisungen von Microsoft aus: https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Auf dieser Seite finden Sie weitere Anweisungen und relevante Downloads.

Option 2: Beenden Sie die vorhandenen Instances von Packager und Validator. Starten Sie die neuen Instances mithilfe unserer aktualisierten AMIs mit der Bezeichnung "Amazon WAM Admin Studio 1.5.1" und "Amazon WAM Admin Player 1.5.1".