Sie betrachten eine frühere Version dieses Sicherheitsberichts. Die aktuelle Version finden Sie unter: "Informationen zu Forschungsergebnissen zur spekulativen Ausführung bei Prozessoren".
Aktualisierung vom: 04.01.2017 15:30 Uhr PST
Hierbei handelt es sich um eine Aktualisierung zu diesem Problem.
Amazon EC2
Alle Instances in der Amazon EC2-Flotte sind vor allen bekannten Bedrohungsvektoren der zuvor aufgelisteten CVEs geschützt. Die Instances der Kunden sind vor den durch andere Instances entstehenden Bedrohungen geschützt. Wir haben keine spürbaren Auswirkungen auf die Leistung der großen Mehrheit aller EC2-Workloads festgestellt.
Empfohlene Maßnahmen für AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce und Amazon Lightsail
Zwar sind alle Instances der Kunden geschützt, aber wir empfehlen den Kunden dennoch, ihre Instance-Betriebssysteme zu patchen. Dies wird den Schutz verstärken, den diese Betriebssysteme bieten, um Software, die innerhalb derselben Instance läuft, zu isolieren. Weitere Informationen finden Sie in den spezifischen Anweisungen der Anbieter zur Verfügbarkeit und Bereitstellung von Patches.
Spezifische Anweisungen der Anbieter:
- Amazon Linux – siehe unten.
- Microsoft Windows – https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180002
- Red Hat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSE Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Wenn Ihr Betriebssystem hier nicht aufgelistet ist, wenden Sie sich an den Anbieter Ihres Betriebssystems oder AMI, um Aktualisierungen und Anweisungen zu erhalten.
Aktualisierungen weiterer AWS-Services
Amazon Linux AMI (Berichts-ID: ALAS-2018-939)
Ein aktualisierter Kernel für Amazon Linux steht in den Amazon Linux-Repositorys zur Verfügung. EC2-Instances, die ab dem 3. Januar 2018 um 10:45 Uhr (GMT) mit der Standardkonfiguration von Amazon Linux gestartet werden, erhalten das aktualisierte Paket automatisch. Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:
sudo yum update kernel
Nach Abschluss des yum-Updates ist ein Neustart erforderlich, damit die Updates wirksam werden.
Weitere Informationen zu diesem Bericht finden Sie im Amazon Linux AMI-Sicherheitszentrum.
EC2 Windows
Wir aktualisieren gerade das standardmäßige Windows Server AMI und werden diesen Bericht aktualisieren, sobald es verfügbar ist.
Amazon FreeRTOS
Es sind keine Updates für Amazon FreeRTOS und seine unterstützten ARM-Prozessoren erforderlich oder anwendbar.
AWS Lambda
Alle Instances, auf denen die Lambda-Funktionen ausgeführt werden, wurden wie oben beschrieben gepatcht, und vonseiten des Kunden besteht kein Handlungsbedarf.
VMware Cloud on AWS
Weitere Informationen finden Sie in den VMware-Sicherheitsanweisungen unter: https://www.vmware.com/security/advisories/VMSA-2018-0002.html
WorkSpaces
AWS wird am kommenden Wochenende die von Microsoft veröffentlichten Sicherheitsupdates auf die meisten AWS WorkSpaces anwenden. Kunden können damit rechnen, dass ihre WorkSpaces in diesem Zeitraum neu gestartet werden.
Kunden, die WorkSpaces mit eigener Lizenz nutzen (BYOL) oder die Standardeinstellungen für die Aktualisierung in ihren WorkSpaces geändert haben, sollten die von Microsoft bereitgestellten Sicherheitsupdates manuell anwenden.
Befolgen Sie bitte die Sicherheitsanweisungen von Microsoft unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Hier finden Sie Links zu Knowledge Base-Artikeln für Windows Server- und Client-Betriebssysteme, die detailliertere Informationen enthalten.
Aktualisierte WorkSpaces-Pakete werden bald mit den Sicherheitsupdates verfügbar sein. Kunden, die benutzerdefinierte Pakete erstellt haben, müssen diese Pakete selbst aktualisieren, damit sie die Sicherheitsupdates enthalten. Neue WorkSpaces, die von noch nicht aktualisierten Paketen ausgeführt werden, erhalten kurz nach dem Start Patches, sofern die Kunden die Standardeinstellung für die Aktualisierung in ihren WorkSpaces nicht geändert haben. In diesem Fall müssen Sie die obigen Schritte zum manuellen Anwenden der von Microsoft bereitgestellten Sicherheitsupdates befolgen.
WorkSpaces Application Manager (WAM)
Wir empfehlen den Kunden, eine der folgenden Handlungsweisen zu wählen:
Option 1: Wenden Sie die Microsoft-Patches manuell auf ausgeführte Instances von WAM Packager und Validator an. Beachten Sie dazu die folgenden Schritte von Microsoft: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Auf dieser Seite finden Sie weitere Anweisungen und Downloads für den Windows Server.
Option 2: Erstellen Sie neue WAM Packager und Validator EC2-Instances aus aktualisierten AMIs für WAM Packager und Validator, die bis Ende des Tages (04.01.2018) verfügbar sein werden.