Sie betrachten eine frühere Version dieses Sicherheitsberichts. Die aktuelle Version finden Sie unter: "Informationen zu Forschungsergebnissen zur spekulativen Ausführung bei Prozessoren".
Betreff: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aktualisierung vom: 05.01.2018 21:00 Uhr PST
Hierbei handelt es sich um eine Aktualisierung zu diesem Problem.
Amazon EC2
Alle Instances in der Amazon EC2-Flotte sind vor allen bekannten Bedrohungsvektoren der zuvor aufgelisteten CVEs geschützt. Die Instances der Kunden sind vor den durch andere Instances entstehenden Bedrohungen geschützt. Wir haben keine spürbaren Auswirkungen auf die Leistung der großen Mehrheit aller EC2-Workloads festgestellt.
Empfohlene Maßnahmen für AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce und Amazon Lightsail
Zwar sind alle Instances der Kunden geschützt, aber dennoch empfehlen wir den Kunden, ihre Instance-Betriebssysteme zu patchen. Dies wird den Schutz verstärken, den diese Betriebssysteme bieten, um die innerhalb derselben Instance laufende Software zu isolieren. Weitere Informationen finden Sie in den spezifischen Anweisungen der Anbieter zur Verfügbarkeit und Bereitstellung von Patches.
Spezifische Anweisungen der Anbieter:
- Amazon Linux – siehe unten.
- Microsoft Windows – https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Wenn Ihr Betriebssystem hier nicht aufgelistet ist, wenden Sie sich an den Anbieter Ihres Betriebssystems oder AMI, um Aktualisierungen und Anweisungen zu erhalten.
Aktualisierungen weiterer AWS-Services
Amazon Linux AMI (Berichts-ID: ALAS-2018-939)
Ein aktualisierter Kernel für Amazon Linux steht in den Amazon Linux-Repositorys zur Verfügung. EC2-Instances, die ab dem 3. Januar 2018 um oder nach 10.45 Uhr (GMT) mit der Standardkonfiguration von Amazon Linux gestartet werden, erhalten das aktualisierte Paket automatisch. Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:
sudo yum update kernel
Nach Abschluss des yum-Updates ist ein Neustart erforderlich, damit die Updates wirksam werden.
Weitere Informationen zu diesem Bericht finden Sie im Amazon Linux AMI-Sicherheitszentrum.
EC2 Windows
Wir aktualisieren gerade das standardmäßige Windows Server AMI und werden diesen Bericht aktualisieren, sobald es verfügbar ist.
ECS-optimiertes AMI
Wir haben die für Amazon ECS optimierte AMI-Version 2017.09.e entwickelt. Diese umfasst alle Schutzmaßnahmen in Bezug auf dieses Problem für Amazon Linux. Wir empfehlen allen Amazon ECS-Kunden das Upgrade auf diese aktuelle Version, die im AWS Marketplace erhältlich ist. Kunden, die bereits bestehende Instances aktualisieren möchten, sollten den folgenden Befehl auf jeder Container-Instance ausführen:
sudo yum update kernel
Es ist ein Neustart der Container-Instance erforderlich, um das Update erfolgreich abzuschließen
Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, wird empfohlen, sich für Aktualisierungen und Anweisungen an den jeweiligen Betriebssystem-, Software- oder AMI-Drittanbieter zu wenden. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux AMI-Sicherheitszentrum.
Ein aktualisiertes Microsoft Windows EC2 und ECS-optimiertes AMI werden freigegeben, wenn die Microsoft Patches verfügbar sind.
Elastic Beanstalk
Wir werden neue Versionen veröffentlichen, die das Kernel-Update enthalten, um dieses Problem innerhalb von 48 Stunden zu beheben. Für Linux-Umgebungen empfehlen wir Ihnen, "Verwaltete Plattformaktualisierungen" zu aktivieren, damit diese innerhalb des von Ihnen gewählten Wartungsfensters automatisch aktualisiert werden, sobald die Updates verfügbar sind. Wir werden Anweisungen für die Windows-Umgebung veröffentlichen, sobald das Update verfügbar ist.
AWS Fargate
Die gesamte Infrastruktur, auf der die Fargate-Aufgaben ausgeführt werden, wurde wie oben beschrieben gepatcht, und vonseiten des Kunden besteht kein Handlungsbedarf.
Amazon FreeRTOS
Es sind keine Updates für Amazon FreeRTOS und seine unterstützten ARM-Prozessoren erforderlich oder anwendbar.
AWS Lambda
Alle Instances, auf denen die Lambda-Funktionen ausgeführt werden, wurden wie oben beschrieben gepatcht, und vonseiten des Kunden besteht kein Handlungsbedarf.
RDS
Mit RDS verwaltete Datenbank-Instances von Kunden sind jeweils nur für die Ausführung einer Datenbank-Engine für einen einzigen Kunden bestimmt. Sie haben keine vom Kunden aufrufbaren Prozesse und die Kunden können auf der zugrunde liegenden Instance keinen Code ausführen. Da AWS den Schutz der gesamten Infrastruktur, die RDS zugrunde liegt, abgeschlossen hat, sollten für den Kunden keine Probleme zwischen Prozessen und Kernel bzw. zwischen Prozessen untereinander auftreten. Für die meisten Datenbanken, die von RDS unterstützt werden, sind zu diesem Zeitpunkt keine Probleme zwischen den Prozessen bekannt. Weitere für die Datenbank-Engine spezifische Informationen finden Sie unten. Sofern nicht anders angegeben, besteht vonseiten der Kunden kein Handlungsbedarf. Wir werden diesen Bericht aktualisieren, sobald mehr Informationen verfügbar sind.
RDS for MariaDB, RDS for MySQL, Aurora MySQL und RDS for Oracle Database Instances: Vonseiten der Kunden besteht derzeit kein Handlungsbedarf.
RDS PostgreSQL und Aurora PostgreSQL: Bei DB Instances, die in der Standardkonfiguration ausgeführt werden, besteht vonseiten der Kunden derzeit kein Handlungsbedarf. Wir bieten den Benutzern von plv8-Erweiterungen entsprechende Patches, sobald diese erhältlich sind. In der Zwischenzeit sollten Kunden, die plv8-Erweiterungen aktiviert haben (standardmäßig deaktiviert), diese ggf. deaktivieren und folgende V8-Empfehlungen beachten: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Für RDS for SQL Server-Datenbank-Instances werden wir Betriebssystem- und Datenbankmodul-Patches veröffentlichen, sobald Microsoft diese zur Verfügung stellt, sodass Kunden zu einem Zeitpunkt ihrer Wahl ein Upgrade durchführen können. Wir werden diesen Bericht aktualisieren, sobald eines der beiden abgeschlossen ist. In der Zwischenzeit sollten Kunden, die CLR aktiviert haben (standardmäßig deaktiviert), die folgenden Microsoft-Richtlinien zum Deaktivieren der CLR-Erweiterung lesen: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Weitere Informationen finden Sie in den VMware-Sicherheitsanweisungen unter: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
AWS wird am kommenden Wochenende die von Microsoft veröffentlichten Sicherheitsupdates auf die meisten AWS WorkSpaces anwenden. Kunden können damit rechnen, dass ihre WorkSpaces in diesem Zeitraum neu gestartet werden.
Kunden, die WorkSpaces mit eigener Lizenz nutzen (BYOL) oder die Standardeinstellungen für die Aktualisierung in ihren WorkSpaces geändert haben, sollten die von Microsoft bereitgestellten Sicherheitsupdates manuell anwenden.
Befolgen Sie bitte die Sicherheitsanweisungen von Microsoft unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Hier finden Sie Links zu Knowledge Base-Artikeln für Windows Server- und Client-Betriebssysteme, die detailliertere Informationen enthalten.
Aktualisierte WorkSpaces-Pakete werden bald mit den Sicherheitsupdates verfügbar sein. Kunden, die benutzerdefinierte Pakete erstellt haben, müssen diese Pakete selbst aktualisieren, damit sie die Sicherheitsupdates enthalten. Neue WorkSpaces, die von noch nicht aktualisierten Paketen ausgeführt werden, erhalten kurz nach dem Start Patches, sofern die Kunden die Standardeinstellung für die Aktualisierung in ihren WorkSpaces nicht geändert haben. In diesem Fall müssen Sie die obigen Schritte zum manuellen Anwenden der von Microsoft bereitgestellten Sicherheitsupdates befolgen.
WorkSpaces Application Manager (WAM)
Wir empfehlen den Kunden, eine der folgenden Handlungsweisen zu wählen:
Option 1: Wenden Sie die Microsoft-Patches manuell auf ausgeführte Instances von WAM Packager und Validator an. Beachten Sie dazu die folgenden Schritte von Microsoft: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Auf dieser Seite finden Sie weitere Anweisungen und Downloads für den Windows Server.
Option 2: Erstellen Sie neue WAM Packager und Validator EC2-Instances aus aktualisierten AMIs für WAM Packager und Validator, die bis Ende des Tages (04.01.2018) verfügbar sein werden.