Sie betrachten eine frühere Version dieses Sicherheitsberichts. Die aktuelle Version finden Sie unter: "Informationen zu Forschungsergebnissen zur spekulativen Ausführung bei Prozessoren".
Betreffs: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aktualisierung vom: 05.01.2018 13.30 Uhr PST
Hierbei handelt es sich um ein Update zu diesem Problem.
Amazon EC2
Alle Instances in der Amazon EC2-Flotte sind vor allen bekannten Bedrohungsvektoren der zuvor aufgelisteten CVEs geschützt. Die Instances der Kunden sind vor den durch andere Instances entstehenden Bedrohungen geschützt. Wir haben keine spürbaren Auswirkungen auf die Leistung der großen Mehrheit aller EC2-Workloads festgestellt.
Empfohlene von Kunden durchgeführte Maßnahmen für AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce und Amazon Lightsail
Zwar sind alle Instances der Kunden geschützt, aber dennoch empfehlen wir den Kunden, ihre Instance-Betriebssysteme zu patchen. Dies wird den Schutz verstärken, den diese Betriebssysteme bieten, um die innerhalb derselben Instance laufende Software zu isolieren. Weitere Informationen finden Sie in den spezifischen Anweisungen der Anbieter zur Verfügbarkeit und Bereitstellung von Patches.
Spezifische Anweisungen der Anbieter:
- Amazon Linux – siehe unten.
- Microsoft Windows – https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Wenn Ihr Betriebssystem hier nicht aufgelistet ist, wenden Sie sich an den Anbieter Ihres Betriebssystems oder AMI, um Updates und Anweisungen zu erhalten.
Updates weiterer AWS-Services
Amazon Linux AMI (Bulletin-ID: ALAS-2018-939)
Ein aktualisierter Kernel für Amazon Linux steht in den Amazon Linux-Repositorys zur Verfügung. EC2-Instances, die ab dem 3. Januar 2018 um oder nach 10.45 Uhr (GMT) mit der Standardkonfiguration von Amazon Linux gestartet werden, erhalten das aktualisierte Paket automatisch. Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:
sudo yum update kernel
Nach Abschluss des yum-Updates ist ein Neustart erforderlich, damit die Updates wirksam werden.
Weitere Informationen zu diesem Bulletin finden Sie im Amazon Linux AMI-Sicherheitszentrum.
EC2 Windows
Wir aktualisieren gerade das standardmäßige Windows Server AMI und werden dieses Bulletin aktualisieren, sobald es verfügbar ist.
ECS-optimiertes AMI
Wir haben die für Amazon ECS optimierte AMI-Version 2017.09.e freigegeben. Diese umfasst alle Schutzmaßnahmen für Amazon Linux in Bezug auf dieses Problem. Wir empfehlen allen Amazon ECS-Kunden das Upgrade auf diese aktuelle Version, die im AWS Marketplace erhältlich ist. Kunden, die bereits bestehende Instances aktualisieren möchten, sollten den folgenden Befehl auf jeder Container-Instance ausführen:
sudo yum update kernel
Es ist ein Neustart der Container-Instance erforderlich, um das Update erfolgreich abzuschließen
Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, wird empfohlen, sich für Updates und Anweisungen an den jeweiligen Betriebssystem-, Software- oder AMI-Drittanbieter zu wenden. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux AMI-Sicherheitszentrum.
Ein aktualisiertes Microsoft Windows EC2 und ECS-optimiertes AMI werden freigegeben, wenn die Microsoft-Patches verfügbar sind.
Elastic Beanstalk
Wir werden neue Versionen veröffentlichen, die das Kernel-Update enthalten, um dieses Problem innerhalb von 48 Stunden zu beheben. Für Linux-Umgebungen wird empfohlen, dass Sie „Managed Platform Updates“ aktivieren, um automatisch innerhalb des gewählten Wartungsfensters zu aktualisieren, sobald diese Updates verfügbar sind. Wir veröffentlichen Anweisungen für die Windows-Umgebungen, sobald das Update verfügbar ist.
AWS Fargate
Die gesamte Infrastruktur, auf der die Fargate-Aufgaben ausgeführt werden, wurde wie oben beschrieben gepatcht und vonseiten des Kunden besteht kein Handlungsbedarf.
Amazon FreeRTOS
Es sind keine Updates für Amazon FreeRTOS und seine unterstützten ARM-Prozessoren erforderlich oder anwendbar.
AWS Lambda
Alle Instances, auf denen die Lambda-Funktionen ausgeführt werden, wurden wie oben beschrieben gepatcht, und vonseiten des Kunden besteht kein Handlungsbedarf.
VMware Cloud on AWS
Weitere Informationen finden Sie in den VMware-Sicherheitsanweisungen unter: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
AWS wird am kommenden Wochenende die von Microsoft veröffentlichten Sicherheitsupdates auf die meisten AWS WorkSpaces anwenden. Kunden können damit rechnen, dass ihre WorkSpaces in diesem Zeitraum neu gestartet werden.
Kunden, die WorkSpaces mit eigener Lizenz nutzen (BYOL) oder die Standardeinstellungen für die Aktualisierung in ihren WorkSpaces geändert haben, sollten die von Microsoft bereitgestellten Sicherheitsupdates manuell anwenden.
Befolgen Sie bitte die Sicherheitsanweisungen von Microsoft unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Hier finden Sie Links zu Knowledge Base-Artikeln für Windows Server- und Client-Betriebssysteme, die detailliertere Informationen darstellen.
Aktualisierte WorkSpaces-Pakete werden bald mit den Sicherheitsupdates verfügbar sein. Kunden, die benutzerdefinierte Pakete erstellt haben, müssen diese Pakete selbst aktualisieren, damit sie die Sicherheitsupdates enthalten. Neue WorkSpaces, die von noch nicht aktualisierten Paketen ausgeführt werden, erhalten Patches kurz nach dem Start, sofern die Kunden die Standardeinstellung für die Aktualisierung in ihrem WorkSpace nicht geändert haben. In diesem Fall müssen Sie die obigen Schritte zum manuellen Anwenden der von Microsoft bereitgestellten Sicherheitsupdates befolgen.
WorkSpaces Application Manager (WAM)
Wir empfehlen den Kunden, eine der folgenden Handlungsweisen zu wählen:
Option 1: Wenden Sie die Microsoft-Patches manuell auf ausgeführte Instances von WAM Packager und Validator an. Beachten Sie dazu die folgenden Schritte von Microsoft: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Auf dieser Seite finden Sie weitere Anweisungen und Downloads für den Windows Server.
Option 2: Erstellen Sie neue WAM Packager und Validator EC2-Instances aus aktualisierten AMIs für WAM Packager und Validator erneut, die bis Ende des Tages (04.01.2018) verfügbar sein werden.