16. August 2018 14.45 Uhr PDT
CVE-Kennungen: CVE-2018-3620, CVE-2018-3646
Intel hat eine Sicherheitsempfehlung (INTEL-SA-00161) zu einer neuen Side-Channel-Analysemethode für deren Prozessoren veröffentlicht, die als „L1 Terminal Fault“ (L1TF) bezeichnet wird. Die von AWS entwickelte und implementierte Infrastruktur umfasst Schutzmaßnahmen gegen diese Art von Angriffe. Zudem stellt AWS zusätzliche Schutzmaßnahmen für L1TF bereit. Die gesamte EC2-Host-Infrastruktur wurde mit diesen neuen Schutzmaßnahmen aktualisiert, sodass Kunden auf der Infrastrukturebene nichts mehr tun müssen.
Aktualisierte Kernels für Amazon Linux AMI 2017.09 (ALAS-2018-1058), Amazon Linux AMI 2018.03 (ALAS-2018-1058), und Amazon Linux 2 (ALAS-2018-1058) sind in den jeweiligen Repositorys verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir Kunden, relevante Patches für ihr Betriebssystem bzw. ihre Software zu umgehend zu installieren, um neue Side-Channel-Probleme zu vermeiden.
Wir haben neue Versionen der Amazon Linux und Amazon Linux 2 AMIs freigegeben, die automatisch den aktualisierten Kernel enthalten. AMI-IDs für Bilder mit den aktualisierten Kerneln finden Sie unter Amazon Linux 2018.03 AMI IDs, Amazon Linux 2 AMI IDs und im AWS Systems Manager Parameter Store.
In der Zwischenzeit schlagen wir vor, die stärkeren Sicherheits- und Isolationseigenschaften von EC2-Instances zu verwenden, anstatt sich auf die Prozessgrenzen des Betriebssystems oder Container zu verlassen, wenn Workloads mit unterschiedlichen Sicherheitsberechtigungen ausgeführt werden.