Sie betrachten eine frühere Version dieses Sicherheitsberichts. Die aktuellste Version finden Sie unter: "Informationen zu Forschungsergebnissen zur spekulativen Ausführung bei Prozessoren".
Betreff: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aktualisierung vom: 07.01.2018 11:30 Uhr PST
Hierbei handelt es sich um eine Aktualisierung zu diesem Problem.
Amazon EC2
Alle Instances in der Amazon EC2-Flotte sind vor allen bekannten Bedrohungsvektoren der zuvor aufgelisteten CVEs geschützt. Die Instances der Kunden sind gegen diese Bedrohungen durch andere Instances geschützt. Wir haben keine spürbaren Auswirkungen auf die Leistung der großen Mehrheit aller EC2 Workloads festgestellt.
Empfohlene Maßnahmen für AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce und Amazon Lightsail
Zwar sind alle Instances der Kunden geschützt, aber wir empfehlen den Kunden dennoch, ihre Instance-Betriebssysteme zu patchen. Dies wird den Schutz verstärken, den diese Betriebssysteme bieten, um Software, die innerhalb derselben Instance läuft, zu isolieren. Weitere Informationen finden Sie in den spezifischen Anweisungen der Anbieter zur Verfügbarkeit und Bereitstellung von Patches.
Spezifische Anweisungen der Anbieter:
- Amazon Linux – siehe unten.
- Microsoft Windows – https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Wenn Ihr Betriebssystem hier nicht aufgelistet ist, wenden Sie sich an den Anbieter Ihres Betriebssystems oder AMI, um Aktualisierungen und Anweisungen zu erhalten.
Aktualisierungen weiterer AWS-Services
Amazon Linux AMI (Berichts-ID: ALAS-2018-939)
Ein aktualisierter Kernel für Amazon Linux steht in den Amazon Linux-Repositorys zur Verfügung. EC2-Instances, die ab dem 3. Januar 2018 um 10:45 Uhr (GMT) mit der Standardkonfiguration von Amazon Linux gestartet werden, erhalten das aktualisierte Paket automatisch. Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:
sudo yum update kernel
Nach Abschluss des yum-Updates ist ein Neustart erforderlich, damit die Updates wirksam werden.
Weitere Informationen zu diesem Bericht finden Sie im Amazon Linux AMI-Sicherheitszentrum.
EC2 Windows
Wir haben AWS Windows-AMIs aktualisiert. Diese können von den Kunden jetzt verwendet werden. Der notwendige Patch ist für AWS Windows-AMIs installiert und die Registrierungsschlüssel sind aktiviert.
Microsoft hat Windows-Patches für die Server 2008R2, 2012R2 und 2016 bereitgestellt. Patches sind über den integrierten Windows Update-Dienst für den Server 2016 verfügbar. Zur Verfügbarkeit von Patches für die Server 2003, 2008SP2 und 2012RTM haben wir von Microsoft noch keine Informationen erhalten.
AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die automatische Updates aktiviert sind, müssen die automatischen Updates ausführen, um die erforderliche Aktualisierung für Windows herunterzuladen und zu installieren, wenn sie verfügbar ist.
Bitte beachten Sie, dass die Patches für 2008R2 und 2012R2 derzeit über Windows Update nicht verfügbar sind und manuell heruntergeladen werden müssen. Microsoft weist darauf hin, dass diese Patches ab Dienstag, den 9. Januar verfügbar sein werden.
AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die automatische Updates nicht aktiviert sind, müssen die erforderliche Aktualisierung manuell installieren, wenn diese verfügbar ist. Die zu befolgenden Anweisungen befinden sich hier: http://windows.microsoft.com/de-de/windows7/install-windows-updates.
Bitte beachten Sie, dass Microsoft für Windows Server zusätzliche Schritte erfordert, damit die Schutzfunktionen in Bezug auf dieses Problem aktiviert werden. Diese Schritte sind hier beschrieben: https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS-optimiertes AMI
Wir haben die für Amazon ECS optimierte AMI-Version 2017.09.e entwickelt. Diese umfasst alle Schutzmaßnahmen in Bezug auf dieses Problem für Amazon Linux. Wir empfehlen allen Amazon ECS-Kunden das Upgrade auf diese neueste Version, die im AWS Marketplace erhältlich ist. Kunden, die bereits bestehende Instances aktualisieren möchten, sollten den folgenden Befehl auf jeder Container-Instance ausführen:
sudo yum update kernel
Es ist ein Neustart der Container-Instance erforderlich, um das Update erfolgreich abzuschließen
Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, wird empfohlen, sich für Aktualisierungen und Anweisungen an den jeweiligen Betriebssystem-, Software- oder AMI-Drittanbieter zu wenden. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux AMI-Sicherheitszentrum.
Ein aktualisiertes Microsoft Windows EC2 und ECS-optimiertes AMI wird freigegeben, wenn Microsoft Patches verfügbar sind.
Elastic Beanstalk
Wir werden neue Versionen veröffentlichen, die das Kernel-Update enthalten, um dieses Problem innerhalb von 48 Stunden zu beheben. Für Linux-Umgebungen empfehlen wir Ihnen, "Verwaltete Plattformaktualisierungen" zu aktivieren, damit diese innerhalb des von Ihnen gewählten Wartungsfensters automatisch aktualisiert werden, sobald die Updates verfügbar sind. Wir werden Anweisungen für die Windows-Umgebung veröffentlichen, sobald das Update verfügbar ist.
AWS Fargate
Die gesamte Infrastruktur, auf der die Fargate-Aufgaben ausgeführt werden, wurde wie oben beschrieben gepatcht, und vonseiten des Kunden besteht kein Handlungsbedarf.
Amazon FreeRTOS
Es sind keine Updates für Amazon FreeRTOS und seine unterstützten ARM-Prozessoren erforderlich oder anwendbar.
AWS Lambda
Alle Instances, auf denen die Lambda-Funktionen ausgeführt werden, wurden wie oben beschrieben gepatcht, und vonseiten des Kunden besteht kein Handlungsbedarf.
RDS
Mit RDS verwaltete Datenbank-Instances von Kunden sind jeweils nur für die Ausführung einer Datenbank-Engine für einen einzigen Kunden dediziert. Sie haben keine vom Kunden aufrufbare Prozesse und die Kunden können auf der zu Grunde liegenden Instance keinen Code ausführen. Da AWS den Schutz der gesamten RDS zu Grunde liegenden Infrastruktur abgeschlossen hat, sollten für die Kunden keine Probleme zwischen Prozessen und Kernel bzw. zwischen Prozessen untereinander auftreten. Für die meisten Datenbanken, die von RDS unterstützt werden, sind zu diesem Zeitpunkt keine Probleme zwischen den Prozessen bekannt. Weitere für die Datenbank-Engine spezifische Informationen finden Sie unten. Sofern nicht anders angegeben, besteht vonseiten der Kunden kein Handlungsbedarf. Wir werden diesen Bericht aktualisieren, sobald mehr Informationen verfügbar sind.
RDS for MariaDB, RDS for MySQL, Aurora MySQL und RDS for Oracle Database Instances: Vonseiten der Kunden besteht derzeit kein Handlungsbedarf.
RDS PostgreSQL und Aurora PostgreSQL: Bei DB Instances, die in der Standardkonfiguration ausgeführt werden, besteht vonseiten der Kunden derzeit kein Handlungsbedarf. Wir bieten den Benutzern von plv8-Erweiterungen entsprechende Patches, sobald diese erhältlich sind. In der Zwischenzeit sollten Kunden, die plv8-Erweiterungen aktiviert haben (standardmäßig deaktiviert), darüber nachdenken, diese zu deaktivieren und folgende V8-Empfehlungen beachten: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Für RDS for SQL Server-Datenbank-Instances werden wir Betriebssystem- und Datenbankmodul-Patches veröffentlichen, sobald Microsoft diese zur Verfügung stellt, sodass Kunden zu einem Zeitpunkt ihrer Wahl ein Upgrade durchführen können. Wir werden diesen Bericht aktualisieren, sobald eines der beiden abgeschlossen ist. In der Zwischenzeit sollten Kunden, die CLR aktiviert haben (standardmäßig deaktiviert), die folgenden Microsoft-Richtlinien zum Deaktivieren der CLR-Erweiterung lesen: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Weitere Informationen finden Sie in den VMware-Sicherheitsanweisungen unter: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
AWS wird am kommenden Wochenende die von Microsoft veröffentlichten Sicherheitsupdates auf die meisten AWS WorkSpaces anwenden. Kunden können damit rechnen, dass ihre WorkSpaces in diesem Zeitraum neu gestartet werden.
Kunden, die WorkSpaces mit eigener Lizenz nutzen (BYOL) oder die Standardeinstellungen für die Aktualisierung in ihren WorkSpaces geändert haben, sollten die von Microsoft bereitgestellten Sicherheitsupdates manuell anwenden.
Befolgen Sie bitte die Sicherheitsanweisungen von Microsoft unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Hier finden Sie Links zu Knowledge Base-Artikeln für Windows Server- und Client-Betriebssysteme, die detailliertere Informationen enthalten.
Aktualisierte WorkSpaces-Pakete werden bald mit den Sicherheitsupdates verfügbar sein. Kunden, die benutzerdefinierte Pakete erstellt haben, müssen diese Pakete selbst aktualisieren, damit sie die Sicherheitsupdates enthalten. Neue WorkSpaces, die von noch nicht aktualisierten Paketen ausgeführt werden, erhalten kurz nach dem Start Patches, sofern die Kunden die Standardeinstellung für die Aktualisierung in ihren WorkSpaces nicht geändert haben. In diesem Fall müssen Sie die obigen Schritte zum manuellen Anwenden der von Microsoft bereitgestellten Sicherheitsupdates befolgen.
WorkSpaces Application Manager (WAM)
Wir empfehlen den Kunden, eine der folgenden Handlungsweisen zu wählen:
Option 1: Wenden Sie die Microsoft-Patches manuell auf ausgeführte Instances von WAM Packager und Validator an. Beachten Sie dazu die folgenden Schritte von Microsoft: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Auf dieser Seite finden Sie weitere Anweisungen und Downloads für den Windows Server.
Option 2: Erstellen Sie neue WAM Packager und Validator EC2-Instances aus aktualisierten AMIs für WAM Packager und Validator, die bis Ende des Tages (04.01.2018) verfügbar sein werden.