Es wird eine veraltete Version dieses Sicherheitsbulletins angezeigt. Die aktuellste Version finden Sie bitte unter: „L1 Terminal Fault Speculative Execution Issue“.
14. August 2018 11.00 Uhr PDT
CVE-Kennungen: CVE-2018-3620, CVE-2018-3646
Intel hat eine Sicherheitsempfehlung (INTEL-SA-00161) zu einer neuen Side-Channel-Analysemethode für deren Prozessoren veröffentlicht, die als „L1 Terminal Fault“ (L1TF) bezeichnet wird. Die von AWS entwickelte und implementierte Infrastruktur umfasst Schutzmaßnahmen gegen diese Art von Angriffe. Zudem stellt AWS zusätzliche Schutzmaßnahmen für L1TF bereit. Die gesamte EC2-Host-Infrastruktur wurde mit diesen neuen Schutzmaßnahmen aktualisiert, sodass Kunden auf der Infrastrukturebene nichts mehr tun müssen.
Aktualisierte Kernels für Amazon Linux AMI 2017.09 (ALAS-2018-1058), Amazon Linux AMI 2018.03 (ALAS-2018-1058), und Amazon Linux 2 (ALAS-2018-1058) sind in den jeweiligen Repositorys verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir Kunden, relevante Patches für ihr Betriebssystem bzw. ihre Software zu umgehend zu installieren, um neue Side-Channel-Probleme zu vermeiden.
Neue AMIs mit den aktualisierten Kerneln werden vorbereitet. Dieser Bericht wird aktualisiert, nachdem diese AMIs verfügbar sind.
In der Zwischenzeit schlagen wir vor, die stärkeren Sicherheits- und Isolationseigenschaften von EC2-Instances zu verwenden, anstatt sich auf die Prozessgrenzen des Betriebssystems oder Container zu verlassen, wenn Workloads mit unterschiedlichen Sicherheitsberechtigungen ausgeführt werden.