21.05.2018 14.00 Uhr PDT
CVE-Kennungen: CVE-2018-3639
Intel hat einen Sicherheitshinweis (SA-00115) zu neuen Varianten spekulativer Ausführung Side-Channel-Probleme in Bezug auf ihre Prozessoren veröffentlicht.
Diese Probleme haben keine Auswirkungen auf die AWS-Infrastruktur. Keine Kunden-Instance kann den Speicher einer anderen Kunden-Instance auslesen. Auch kann keine Instance den Speicher des AWS Hypervisors auslesen.
Als allgemeine bewährte Sicherheitsmethode empfehlen wir Kunden, ihre Betriebssysteme bzw. ihre Software zu patchen, sobald relevante Patches zur Verfügung stehen, um Speculative Execution Side-Channel-Probleme zu vermeiden. Einige Betriebssystem- und Software-Patches, die solche Bedenken innerhalb einer Instance beheben sollen, erfordern möglicherweise, dass AWS neuen Intel CPU-Mikrocode aktiviert. Wir arbeiten mit Intel und Anbietern von Betriebssystemen zusammen, um die Sicherheitsvorteile und Leistungsauswirkungen von CPU-Mikrocode-fähigen Funktionen sorgfältig zu testen und zu bewerten.
Mittlerweile empfehlen wir, die stärkeren Sicherheits- und Isolationseigenschaften der Instances zu verwenden, um beliebige nicht vertrauenswürdige Workloads zu trennen.