Es wird eine veraltete Version dieses Sicherheitsbulletins angezeigt. Die aktuellste Version finden Sie unter: „Prozessor Speculative Execution Research-Offenlegung“.
Betreffs: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aktualisierung vom: 11.01.2018 11.30 Uhr PST
Hierbei handelt es sich um ein Update zu diesem Problem.
Eine zweite Kernel-Version für Amazon Linux ist verfügbar, die KPTI-Fehler behebt und die Problembehebungen in Bezug auf CVE-2017-5754 verbessert. Kunden müssen ein Upgrade auf den neuesten Amazon Linux-Kernel oder AMI durchführen, damit die Probleme zwischen Prozessen in Bezug auf CVE-2017-5754 in ihren Instances wirksam behoben werden. Weitere Informationen zum „Amazon Linux AMI“ finden Sie unten.
Unten finden Sie unter „PV Instance-Leitfaden“ weitere Informationen zu paravirtualisierten (PV) Instances.
Amazon EC2
Alle Instances in der Amazon EC2-Flotte sind vor allen bekannten Problemen zwischen Instances der zuvor aufgelisteten CVEs geschützt. Bei Problemen zwischen Instances wird davon ausgegangen, dass eine nicht vertrauenswürdige Nachbar-Instance den Speicher einer anderen Instance oder des AWS Hypervisors auslesen könnte. Dieses Problem wurde für AWS Hypervisors behoben. Keine Instance kann den Speicher einer anderen Instance oder den AWS Hypervisor-Speicher auslesen. Wir haben keine spürbaren Auswirkungen auf die Leistung der großen Mehrheit aller EC2-Workloads festgestellt.
Empfohlene von Kunden durchzuführende Maßnahmen für AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce und Amazon Lightsail
Alle Instances der Kunden sind zwar wie oben beschrieben geschützt, wir empfehlen aber dennoch, dass die Kunden Patches für die Betriebssysteme ihrer Instances durchführen, um die innerhalb der gleichen Instance ausgeführte Software zu isolieren und die in CVE-2017-5754 beschriebenen Probleme zwischen Prozessen zu beheben. Weitere Informationen finden Sie im spezifischen Leitfaden der Anbieter zur Verfügbarkeit und Bereitstellung von Patches.
Spezifischer Leitfaden der Anbieter:
- Amazon Linux – siehe unten.
- Microsoft Windows – https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Wenn Ihr Betriebssystem hier nicht aufgelistet ist, wenden Sie sich an den Anbieter Ihres Betriebssystems oder AMI, um Updates und Anweisungen zu erhalten.
PV Instance-Leitfaden
Anhand laufender Forschungen und detaillierter Analysen der für dieses Problem verfügbaren Patches der Betriebssysteme haben wir ermittelt, dass der Schutz der Betriebssysteme für die Probleme zwischen Prozessen in paravirtualisierten (PV) Instances unzureichend ist. PV Instances werden zwar von AWS Hypervisors wie oben beschrieben vor Problemen zwischen Instances geschützt, wir empfehlen aber Kunden, die um die Prozessisolation in ihren PV Instances besorgt sind (z. B. in Bezig auf die Verarbeitung von nicht vertrauenswürdigen Daten, die Ausführung von nicht vertrauenswürdigem Code, das Hosten von nicht vertrauenswürdigen Benutzern), für langfristige Sicherheitsvorteile auf HVM Instance-Typen zu migrieren.
Weitere Informationen zu den Unterschieden zwischen PV und HVM (sowie die Dokumentation des Pfads für das Upgrade von Instances) finden Sie unter:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Bitte wenden Sie sich an den Support, wenn Sie bei einem Upgrade-Pfad für PV Instances Unterstützung benötigen.
Updates weiterer AWS-Services
Die folgenden Services, bei denen das Patchen von im Namen von Kunden verwalteten EC2-Instances erforderlich war, haben alle Arbeiten jetzt abgeschlossen und es besteht kein Handlungsbedarf vonseiten der Kunden:
- Fargate
- Lambda
Sofern nicht anders angegeben besteht bei allen weiteren AWS-Services kein Handlungsbedarf vonseiten des Kunden.
Amazon Linux AMI (Bulletin-ID: ALAS-2018-939)
Ein aktualisierter Kernel für Amazon Linux steht in den Amazon Linux-Repositorys zur Verfügung. EC2-Instances, die mit der Amazon Linux-Standardkonfiguration ab dem 8. Januar 2018 gestartet werden, enthalten automatisch das aktualisierte Paket, das KPTI-Fehler behebt und die Problembehebung für CVE-2017-5754 verbessert.
HINWEIS: Kunden müssen ein Upgrade auf den neuesten Amazon Linux-Kernel oder AMI durchführen, damit CVE-2017-5754 in ihren Instances wirksam behoben wird. Wir werden weiterhin Amazon Linux-Verbesserungen und aktualisierte Amazon Linux-AMIs bereitstellen und Open-Source-Beiträge der Linux-Community integrieren, die dieses Problem beheben, sobald sie verfügbar sind.
Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:
sudo yum update kernel
Wie bei jedem Update des Linux-Kernels ist nach Abschluss des yum-Updates standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden.
Weitere Informationen zu diesem Bulletin finden Sie im Amazon Linux AMI-Sicherheitszentrum.
Führen Sie bei Amazon Linux 2 die oben beschriebenen Anweisungen für Amazon Linux aus.
EC2 Windows
Wir haben AWS Windows-AMIs aktualisiert. Diese können von den Kunden jetzt verwendet werden. Der notwendige Patch ist für AWS Windows-AMIs installiert und die Registrierungsschlüssel sind aktiviert.
Microsoft hat Windows-Patches für Server 2008R2, 2012R2 und 2016 bereitgestellt. Patches sind über den integrierten Windows Update-Dienst für Server 2016 verfügbar. Zur Verfügbarkeit von Patches für Server 2003, 2008SP2 und 2012RTM haben wir von Microsoft noch keine Informationen erhalten.
AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die automatische Updates aktiviert sind, sollen die automatischen Updates ausführen, um das erforderliche Update für Windows herunterzuladen und zu installieren, wenn sie verfügbar ist.
Bitte beachten Sie, dass Patches für die Server 2008R2 und 2012R2 derzeit über Windows Update nicht verfügbar sind und manuell heruntergeladen werden müssen. Microsoft hatte zuvor bekannt gegeben, dass diese Patches am Dienstag, den 9. Januar zur Verfügung gestellt werden, wir haben jedoch noch keine Informationen zu ihrer Verfügbarkeit erhalten.
AWS-Kunden, die Windows-Instances auf EC2 ausführen, für die automatische Updates nicht aktiviert sind, sollen das erforderliche Update manuell installieren, wenn dies verfügbar ist. Befolgen Sie dafür die folgenden Anweisungen: http://windows.microsoft.com/de-de/windows7/install-windows-updates.
Bitte beachten Sie, dass Microsoft für Windows Server zusätzliche Schritte erfordert, damit die Schutzfunktionen ihres Updates in Bezug auf dieses Problem aktiviert werden. Diese Schritte sind hier beschrieben: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS-optimiertes AMI
Wir haben die für Amazon ECS optimierte AMI-Version 2017.09.f freigegeben. Diese umfasst alle Schutzmaßnahmen für Amazon Linux in Bezug auf dieses Problem, wie u. a. das zweite Amazon Linux-Kernel-Update. Wir empfehlen allen Amazon ECS-Kunden ein Upgrade auf diese aktuelle Version, die im AWS Marketplace erhältlich ist. Wir werden Amazon Linux-Optimierungen weiterhin einführen, sobald sie verfügbar sind.
Kunden, die vorhandene, für ECS optimierte AMI Instances aktualisieren möchten, sollen den folgenden Befehl ausführen, um das aktualisierte Paket zu erhalten:
sudo yum update kernel
Wie bei jedem Update des Linux-Kernels ist nach Abschluss des yum-Updates standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden.
Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, werden empfohlen, sich für Updates und Anweisungen an den jeweiligen Betriebssystem-, Software- oder AMI-Drittanbieter zu wenden. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux AMI-Sicherheitszentrum.
Wir aktualisieren das für Amazon ECS optimierte Windows-AMI und werden dieses Bulletin aktualisieren, sobald es verfügbar ist. Microsoft hat Windows-Patches für Server 2016 bereitgestellt. Weitere Informationen dazu, wie die Patches auf ausgeführte Instances angewendet werden, finden Sie unter https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Wir haben alle Linux-basierten Plattformen so aktualisiert, dass sie alle Amazon Linux-Schutzmaßnahmen für dieses Problem beinhalten. Siehe Versionshinweise für spezifische Plattformversionen. Kunden, die Elastic Beanstalk nutzen, empfehlen wir die Aktualisierung ihrer Umgebungen auf die neuesten verfügbaren Plattformversionen. Umgebungen mit verwalteten Updates werden automatisch beim konfigurierten Wartungsfenster aktualisiert.
Das Elastic Beanstalk-Team arbeitet weiterhin an Windows-Plattformupdates, die innerhalb der nächsten 12 Stunden zur Verfügung gestellt werden. Elastic Beanstalk-Kunden, die Windows-basierte Plattformen verwenden, werden empfohlen, verfügbare Sicherheitsupdates laut den im obigen Abschnitt „EC2 Windows“ dieses Bulletins angegebenen Anweisungen manuell zu installieren.
EMR
Amazon EMR startet Cluster von Amazon EC2 Instances, die auf Amazon Linux ausgeführt werden, im Namen von Kunden in deren Konto. Kunden, die in Bezug auf die Prozessisolierung innerhalb der Instances ihrer Amazon EMR-Cluster besorgt sind, müssen wie oben empfohlen ein Upgrade auf den neuesten Amazon Linux-Kernel durchführen. Wir sind dabei, den neuesten Amazon Linux-Kernel in eine neue Nebenversion für den Zweig 5.11.x und den Zweig 4.9.x zu integrieren. Kunden können mit diesen Versionen neue Amazon EMR-Cluster erstellen. Wir werden dieses Bulletin aktualisieren, sobald diese Versionen verfügbar sind.
Für aktuelle Amazon EMR-Versionen und dazugehörige ausgeführte Instances von Kunden empfehlen wir eine Aktualisierung auf den neuesten Amazon Linux-Kernel wie oben empfohlen. Für neue Cluster können Kunden eine Bootstrap-Aktion zur Aktualisierung des Linux-Kernels verwenden und jede Instance neu starten. Für ausgeführte Cluster können Kunden das Linux-Kernel-Update rollierend für jede Instance im Cluster ausführen und diese neu starten. Bitte beachten Sie, dass sich der Neustart bestimmter Prozesse auf laufende Anwendungen im Cluster auswirken kann.
RDS
Die RDS verwaltete Datenbank-Instances von Kunden werden jeweils nur dafür reserviert, eine Datenbank-Engine für einen einzigen Kunden auszuführen. Diese Instances haben keine vom Kunden aufrufbare Prozesse und die Kunden können auf der zu Grunde liegenden Instance keinen Code ausführen. Da AWS den Schutz der gesamten RDS zu Grunde liegenden Infrastruktur abgeschlossen hat, sollten für die Kunden keine Probleme zwischen Prozessen und Kernel bzw. zwischen Prozessen untereinander auftreten. Für die meisten Datenbank-Engines, die von RDS unterstützt werden, sind zu diesem Zeitpunkt keine Probleme zwischen den Prozessen bekannt. Weitere für die Datenbank-Engine spezifische Informationen finden Sie unten. Sofern nicht anders angegeben, besteht vonseiten des Kunden kein Handlungsbedarf. Wir werden dieses Bulletin aktualisieren, sobald mehr Informationen verfügbar sind.
Für RDS for SQL Server-Datenbank-Instances werden wir Betriebssystem- und Datenbank-Engine-Patches veröffentlichen, sobald Microsoft diese zur Verfügung stellt. Somit können Kunden zu einem Zeitpunkt ihrer Wahl ein Upgrade durchführen. Wir werden dieses Bulletin aktualisieren, sobald eines der beiden abgeschlossen ist. In der Zwischenzeit sollten Kunden, die CLR aktiviert haben (standardmäßig deaktiviert), den folgenden Microsoft-Leitfaden zum Deaktivieren der CLR-Erweiterung lesen: https://support.microsoft.com/de-de/help/4073225/guidance-for-sql-server.
RDS PostgreSQL und Aurora PostgreSQL: Bei DB-Instances, die in der Standardkonfiguration ausgeführt werden, besteht vonseiten der Kunden derzeit kein Handlungsbedarf. Wir bieten den Benutzern von plv8-Erweiterungen entsprechende Patches, sobald diese erhältlich sind. In der Zwischenzeit sollten Kunden, die plv8-Erweiterungen aktiviert haben (standardmäßig deaktiviert), darüber nachdenken, diese zu deaktivieren, und folgenden V8-Leitfaden lesen: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
RDS for MariaDB, RDS for MySQL, Aurora MySQL und RDS for Oracle Database Instances: Vonseiten des Kunden besteht derzeit kein Handlungsbedarf.
VMware Cloud on AWS
Laut VMware sind die in VMSA-2018-0002 beschriebenen Korrekturmaßnahmen seit Anfang Dezember 2017 in VMware Cloud on AWS vorhanden.
Weitere Einzelheiten finden Sie im VMware Security & Compliance Blog. Den aktuellen Status können Sie unter https://status.vmware-services.io einsehen.
WorkSpaces
AWS wird am kommenden Wochenende die von Microsoft veröffentlichten Sicherheitsupdates auf die meisten AWS WorkSpaces anwenden. Kunden können damit rechnen, dass ihre WorkSpaces in diesem Zeitraum neu gestartet werden.
Kunden, die WorkSpaces mit eigener Lizenz nutzen (BYOL) oder die Standardeinstellungen für die Aktualisierung in ihren WorkSpaces geändert haben, sollten die von Microsoft bereitgestellten Sicherheitsupdates manuell anwenden.
Befolgen Sie bitte die Anweisungen im Microsoft-Sicherheitshinweis unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Hier finden Sie Links zu Knowledge Base-Artikeln für Windows Server- und Client-Betriebssysteme, die detailliertere Informationen enthalten.
Aktualisierte WorkSpaces-Pakete werden bald mit den Sicherheitsupdates verfügbar sein. Kunden, die benutzerdefinierte Pakete erstellt haben, müssen diese Pakete selbst aktualisieren, damit sie die Sicherheitsupdates enthalten. Neue WorkSpaces, die von noch nicht aktualisierten Paketen ausgeführt werden, erhalten Patches kurz nach dem Start, sofern die Kunden die Standardeinstellung für die Aktualisierung in ihren WorkSpaces nicht geändert haben. In diesem Fall müssen Sie die obigen Schritte zum manuellen Anwenden der von Microsoft bereitgestellten Sicherheitsupdates befolgen.
WorkSpaces Application Manager (WAM)
Wir empfehlen den Kunden, eine der folgenden Handlungsweisen zu wählen:
Option 1: Wenden Sie die Microsoft-Patches manuell auf ausgeführte Instances von WAM Packager und Validator an. Beachten Sie dazu die folgenden Schritte von Microsoft: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Auf dieser Seite finden Sie weitere Anweisungen und Downloads für den Windows Server.
Option 2: Erstellen Sie neue WAM Packager und Validator EC2-Instances aus aktualisierten AMIs für WAM Packager und Validator wieder, die bis Ende des Tages (04.01.2018) verfügbar sein werden.