Prozessor Speculative Execution Research-Offenlegung (v7)

Es wird eine veraltete Version dieses Sicherheitsbulletins angezeigt. Die aktuellste Version finden Sie unter: „Prozessor Speculative Execution Research-Offenlegung“.

Betreffs: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Aktualisierung vom: 08.01.2018 14.25 Uhr PST

Hierbei handelt es sich um ein Update zu diesem Problem.

Amazon EC2

Alle Instances in der Amazon EC2-Flotte sind vor allen bekannten Bedrohungsvektoren der zuvor aufgelisteten CVEs geschützt. Die Instances der Kunden sind vor den durch andere Instances entstehenden Bedrohungen geschützt. Wir haben keine spürbaren Auswirkungen auf die Leistung der großen Mehrheit aller EC2 Workloads festgestellt.

Empfohlene von Kunden durchzuführende Maßnahmen für AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce und Amazon Lightsail

Zwar sind alle Instances der Kunden geschützt, aber wir empfehlen den Kunden dennoch, ihre Instance-Betriebssysteme zu patchen. Dies wird den Schutz verstärken, den diese Betriebssysteme bieten, um die innerhalb derselben Instance ausgeführte Software zu isolieren. Weitere Informationen finden Sie im spezifischen Leitfaden der Anbieter zur Verfügbarkeit und Bereitstellung von Patches.

Spezifischer Leitfaden der Anbieter:

Wenn Ihr Betriebssystem hier nicht aufgelistet ist, wenden Sie sich an den Anbieter Ihres Betriebssystems oder AMI, um Updates und Anweisungen zu erhalten.

Updates weiterer AWS-Services

Amazon Linux AMI (Bulletin-ID: ALAS-2018-939)

Ein aktualisierter Kernel für Amazon Linux steht in den Amazon Linux-Repositorys zur Verfügung. EC2-Instances, die ab dem 3. Januar 2018 um oder nach 22.45 Uhr (GMT) mit der Standardkonfiguration von Amazon Linux gestartet werden, enthalten das aktualisierte Paket automatisch. Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:

sudo yum update kernel

Nach Abschluss des yum-Updates ist ein Neustart erforderlich, damit die Updates wirksam werden.

Weitere Informationen zu diesem Bulletin finden Sie im Amazon Linux AMI-Sicherheitszentrum.

EC2 Windows

Wir haben AWS Windows-AMIs aktualisiert. Diese können von den Kunden jetzt verwendet werden. Der notwendige Patch ist für AWS Windows-AMIs installiert und die Registrierungsschlüssel sind aktiviert.

Microsoft hat Windows-Patches für die Server 2008R2, 2012R2 und 2016 bereitgestellt. Patches sind über den integrierten Windows Update-Dienst für den Server 2016 verfügbar. Zur Verfügbarkeit von Patches für die Server 2003, 2008SP2 und 2012RTM haben wir von Microsoft noch keine Informationen erhalten.

AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die die automatischen Updates aktiviert sind, sollen die automatischen Updates ausführen, um das für Windows erforderliche Update herunterzuladen und zu installieren, wenn es verfügbar ist.

Bitte beachten Sie, dass die Patches für die Server 2008R2 und 2012R2 derzeit über Windows Update nicht verfügbar sind und manuell heruntergeladen werden müssen. Microsoft weist darauf hin, dass diese Patches ab Dienstag, den 9. Januar verfügbar sein werden.

AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die die automatischen Updates nicht aktiviert sind, sollen das erforderliche Update manuell installieren, wenn dies verfügbar ist. Die zu befolgenden Anweisungen befinden sich hier: http://windows.microsoft.com/de-de/windows7/install-windows-updates.

Bitte beachten Sie, dass Microsoft für Windows Server zusätzliche Schritte erfordert, damit die Schutzfunktionen des Updates in Bezug auf dieses Problem aktiviert werden. Diese Schritte sind hier beschrieben: https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

ECS-optimiertes AMI

Wir haben die für Amazon ECS optimierte AMI-Version 2017.09.e freigegeben. Diese umfasst alle Schutzmaßnahmen für Amazon Linux in Bezug auf dieses Problem. Wir empfehlen allen Amazon ECS-Kunden das Upgrade auf diese neueste Version, die im AWS Marketplace erhältlich ist. Kunden, die bereits bestehende Instances aktualisieren möchten, sollten den folgenden Befehl auf jeder Container-Instance ausführen:

sudo yum update kernel

Es ist ein Neustart der Container-Instance erforderlich, um das Update erfolgreich abzuschließen

Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, werden empfohlen, sich für Updates und Anweisungen an den jeweiligen Betriebssystem-, Software- oder AMI-Drittanbieter zu wenden. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux AMI-Sicherheitszentrum.

Ein aktualisiertes Microsoft Windows EC2 und ECS-optimiertes AMI werden freigegeben, wenn Microsoft-Patches verfügbar sind.

Elastic Beanstalk

Wir haben alle Linux-basierten Plattformen so aktualisiert, dass sie die ursprünglichen Amazon Linux-Schutzmaßnahmen für dieses Problem beinhalten. Siehe Versionshinweise für spezifische Plattformversionen. Kunden werden empfohlen, ihre Umgebungen zu aktualisieren. Umgebungen mit verwalteten Updates werden automatisch beim konfigurierten Wartungsfenster aktualisiert.

Das Elastic Beanstalk-Team arbeitet weiterhin an Windows-Plattformupdates. Elastic Beanstalk-Kunden, die Windows-basierte Plattformen verwenden, werden empfohlen, verfügbare Sicherheitsupdates laut den im obigen Abschnitt „EC2 Windows“ dieses Bulletins angegebenen Anweisungen manuell zu installieren.

AWS Fargate

Die gesamte Infrastruktur, auf der die Fargate-Aufgaben ausgeführt werden, wurde wie oben beschrieben gepatcht und vonseiten des Kunden besteht kein Handlungsbedarf.

Amazon FreeRTOS

Es sind keine Updates für Amazon FreeRTOS und seine unterstützten ARM-Prozessoren erforderlich oder anwendbar.

AWS Lambda

Alle Instances, auf denen die Lambda-Funktionen ausgeführt werden, wurden wie oben beschrieben gepatcht und vonseiten des Kunden besteht kein Handlungsbedarf.

RDS

Die RDS verwaltete Datenbank-Instances von Kunden werden jeweils nur dafür reserviert, eine Datenbank-Engine für einen einzigen Kunden auszuführen. Diese Instances haben keine vom Kunden aufrufbare Prozesse und die Kunden können auf der zu Grunde liegenden Instance keinen Code ausführen. Da AWS den Schutz der gesamten RDS zu Grunde liegenden Infrastruktur abgeschlossen hat, sollten für die Kunden keine Probleme zwischen Prozessen und Kernel bzw. zwischen Prozessen untereinander auftreten. Für die meisten Datenbank-Engines, die von RDS unterstützt werden, sind zu diesem Zeitpunkt keine Probleme zwischen den Prozessen bekannt. Weitere für die Datenbank-Engine spezifische Informationen finden Sie unten. Sofern nicht anders angegeben, besteht vonseiten der Kunden kein Handlungsbedarf. Wir werden dieses Bulletin aktualisieren, sobald mehr Informationen verfügbar sind.

RDS for MariaDB, RDS for MySQL, Aurora MySQL und RDS for Oracle Database Instances: Vonseiten der Kunden besteht derzeit kein Handlungsbedarf.

RDS PostgreSQL und Aurora PostgreSQL: Bei DB Instances, die in der Standardkonfiguration ausgeführt werden, besteht vonseiten der Kunden derzeit kein Handlungsbedarf. Wir bieten den Benutzern von plv8-Erweiterungen entsprechende Patches, sobald diese erhältlich sind. In der Zwischenzeit sollten Kunden, die plv8-Erweiterungen aktiviert haben (standardmäßig deaktiviert), darüber nachdenken, diese zu deaktivieren, und folgenden V8-Leitfaden lesen: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Für RDS for SQL Server-Datenbank-Instances werden wir Betriebssystem- und Datenbank-Engine-Patches veröffentlichen, sobald Microsoft diese zur Verfügung stellt. Somit können Kunden zu einem Zeitpunkt ihrer Wahl ein Upgrade durchführen. Wir werden dieses Bulletin aktualisieren, sobald eines der beiden abgeschlossen ist. In der Zwischenzeit sollten Kunden, die CLR aktiviert haben (standardmäßig deaktiviert), den folgenden Microsoft-Leitfaden zum Deaktivieren der CLR-Erweiterung lesen: https://support.microsoft.com/de-de/help/4073225/guidance-for-sql-server.

VMware Cloud on AWS

Weitere Informationen finden Sie in den VMware-Sicherheitshinweisen unter: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

AWS wird am kommenden Wochenende die von Microsoft veröffentlichten Sicherheitsupdates auf die meisten AWS WorkSpaces anwenden. Kunden können damit rechnen, dass ihre WorkSpaces in diesem Zeitraum neu gestartet werden.

Kunden, die WorkSpaces mit eigener Lizenz nutzen (BYOL) bzw. die Standardeinstellungen für die Aktualisierung in ihren WorkSpaces geändert haben, sollten die von Microsoft bereitgestellten Sicherheitsupdates manuell anwenden.

Befolgen Sie bitte die Anweisungen im Microsoft-Sicherheitshinweis unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Hier finden Sie Links zu Knowledge Base-Artikeln für Windows Server- und Client-Betriebssysteme, die detailliertere Informationen enthalten.

Aktualisierte WorkSpaces-Pakete werden bald mit den Sicherheitsupdates verfügbar sein. Kunden, die benutzerdefinierte Pakete erstellt haben, sollten diese Pakete selbst aktualisieren, damit sie die Sicherheitsupdates enthalten. Neue WorkSpaces, die von noch nicht aktualisierten Paketen ausgeführt werden, erhalten Patches kurz nach dem Start, sofern die Kunden die Standardeinstellung für die Aktualisierung in ihren WorkSpaces nicht geändert haben. In diesem Fall müssen Sie die obigen Schritte zum manuellen Anwenden der von Microsoft bereitgestellten Sicherheitsupdates befolgen.

WorkSpaces Application Manager (WAM)

Wir empfehlen den Kunden, eine der folgenden Handlungsweisen zu wählen:

Option 1: Wenden Sie die Microsoft-Patches manuell auf ausgeführte Instances von WAM Packager und Validator an. Beachten Sie dazu die folgenden Schritte von Microsoft: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Auf dieser Seite finden Sie weitere Anweisungen und Downloads für den Windows Server.

Option 2: Erstellen Sie neue WAM Packager und Validator EC2-Instances aus aktualisierten AMIs für WAM Packager und Validator wieder, die bis Ende des Tages (04.01.2018) verfügbar sein werden.