Sie betrachten eine frühere Version dieses Sicherheitsberichts. Die neueste Version finden Sie unter: „Linux Kernel TCP SACK Denial of Service-Probleme“.

17. Juni 2019, 10:00 Uhr PDT

CVE-Kennungen: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479

AWS ist sich der drei kürzlich bekannt gewordenen Probleme bewusst, die das TCP-Verarbeitungs-Subsystem des Linux-Kernels betreffen. Konkret kann ein bösartiger TCP-Client oder -Server eine speziell gestaltete Reihe von Paketen übertragen, die beim Linux-Kernel eines beliebigen Verbindungssystems einen Absturz und Neustart verursachen können.

Die zugrunde liegenden Systeme und Infrastrukturen von AWS sind vor diesen Problemen geschützt. Mit Ausnahme der unten angeführten AWS-Services sind keine Maßnahmen seitens des Kunden erforderlich, um jegliche potenzielle denial-of-service-(DoS)-Risiken im Zusammenhang mit diesen Problemen zu reduzieren.

Amazon Elastic Compute Cloud (EC2)

EC2 Linux-basierte Instances von Kunden, die entweder TCP-Verbindungen zu oder von nicht vertrauenswürdigen Parteien, z. B. dem Internet, initiieren oder direkt empfangen, benötigen Betriebssystempatches, um mögliche DoS-Risiken dieser Art zu reduzieren. HINWEIS: Kunden, die Amazon Elastic Load Balancing (ELB) verwenden, erhalten unter "Elastic Load Balancing (ELB)" weitere Informationen.

Amazon Linux AMI und Amazon Linux 2 AMI

Aktualisierte Amazon Linux AMIs werden in Kürze verfügbar sein. Dieser Bericht wird aktualisiert, wenn sie für die Nutzung zur Verfügung stehen.

Aktualisierte Kernel für Amazon Linux AMI und Amazon Linux 2 sind sofort in den Amazon Linux Repositorys verfügbar. Kunden mit bestehenden EC2-Instances unter Amazon Linux sollten den folgenden Befehl innerhalb jeder EC2-Instance unter Amazon Linux ausführen, um sicherzustellen, dass sie das aktualisierte Paket erhalten:

sudo yum update kernel

Wie bei jedem Update des Linux-Kernels ist nach Abschluss des yum-Updates standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden.

Weitere Informationen erhalten Sie in Kürze im Amazon Linux-Sicherheitszentrum.

Elastic Load Balancing (ELB)

Network Load Balancers (NLBs) filtern keinen Datenverkehr. Linux-basierte EC2-Instances mit NLBs erfordern Betriebssystempatches, um mögliche DoS-Risiken in Zusammenhang mit diesen Problemen zu reduzieren. Aktualisierte Kernels für Amazon Linux sind jetzt verfügbar. Anweisungen zur Aktualisierung von EC2-Instances, die derzeit unter Amazon Linux ausgeführt werden, finden Sie oben. Kunden, die nicht mit Amazon Linux arbeiten, wenden sich bitte an den Anbieter ihres Betriebssystems, um Updates oder Anweisungen zu erhalten, die zur Reduzierung möglicher DoS-Risiken nötig sind.

Linux-basierte EC2-Instances mit Elastic Load Balancing (ELB) Classic Load Balancers und Application Load Balancers erfordern keinen Handlungsbedarf vonseiten des Kunden. ELB Classic und ALB filtern den eingehenden Datenverkehr, um mögliche DoS-Risiken hinsichtlich dieser Probleme zu filtern.

Amazon WorkSpaces (Linux)

Alle neuen Amazon Linux WorkSpaces werden mit den aktualisierten Kernels gestartet. Die aktualisierten Kernels für Amazon Linux 2 wurden bereits für vorhandene Amazon Linux WorkSpaces installiert.

Wie bei jedem Update des Linux-Kernels ist standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden. Wir empfehlen Kunden, so schnell wie möglich einen manuellen Neustart durchzuführen. Andernfalls wird Amazon Linux WorkSpaces am 18. Juni zwischen 00:00 und 4:00 Uhr lokaler Zeit automatisch neu gestartet.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Alle Amazon EKS-Cluster, die derzeit in Betrieb sind, sind vor diesen Problemen geschützt. Amazon EKS hat am 17. Juni 2019 aktualisierte, für EKS optimierte Amazon Machine Images (AMIs) mit dem gepatchten Amazon Linux 2-Kernel veröffentlicht. Weitere Informationen zum für EKS optimierten AMI erhalten Sie hier: https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.

EKS-Kunden sollten alle Worker-Knoten ersetzen, um die aktuelle für EKS optimierte AMI-Version nutzen zu können. Anweisungen zur Aktualisierung von Worker-Knoten erhalten Sie unter https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.

AWS Elastic Beanstalk

Aktualisierte, Linux-basierte AWS Elastic Beanstalk-Plattformen sind ab dem 17. Juni 2019 verfügbar. Dieser Bericht wird aktualisiert, wenn die neuen Plattformversionen verfügbar sind. Kunden, die verwaltete Plattformaktualisierungen nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Alternativ können Kunden, die verwaltete Plattformaktualisierungen nutzen, verfügbare Updates bereits früher installieren, als im ausgewählten Wartungsfenster festgelegt. Dazu müssen sie auf der Konfigurationsseite "Managed Updates" (Verwaltete Updates) auf "Apply Now" (Jetzt anwenden) klicken.

Kunden, die keine verwalteten Plattformaktualisierungen nutzen, müssen die Plattformversion ihrer Umgebung wie oben beschrieben aktualisieren. Weitere Informationen zu verwalteten Plattformaktualisierungen erhalten Sie unter https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html.

Amazon ElastiCache

Amazon ElastiCache startet Cluster von Amazon EC2-Instances mit Amazon Linux in Kunden-VPCs. Diese akzeptieren standardmäßig keine nicht vertrauenswürdigen TCP-Verbindungen und sind von diesen Problemen nicht betroffen.

Kunden, die Änderungen an der Standardkonfiguration der ElastiCache-VPC vorgenommen haben, sollten sicherstellen, dass ihre ElastiCache-Sicherheitsgruppen die bewährten Sicherheitsmethoden von AWS befolgen. Die Sicherheitsgruppen sollten so konfiguriert werden, dass sie den Netzwerkverkehr von nicht vertrauenswürdigen Clients blockieren, damit das DoS-Risiko reduziert wird. Weitere Informationen zur Konfiguration der ElastiCache-VPC erhalten Sie unter https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.

Kunden, die ihre ElastiCache-Cluster außerhalb ihrer VPCs ausführen und Änderungen an der Standardkonfiguration vorgenommen haben, sollten den vertrauenswürdigen Zugriff über ElastiCache-Sicherheitsgruppen konfigurieren. Weitere Informationen zur Erstellung von ElastiCache-Sicherheitsgruppen erhalten Sie unter https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html.

Das ElastiCache-Team wird in Kürze einen neuen Patch veröffentlichen, mit dem diese Probleme behoben werden. Wir benachrichtigen unsere Kunden, sobald der Patch verfügbar ist. Die Kunden können ihre Cluster dann über die Self-Service-Update-Funktion für ElastiCache aktualisieren. Weitere Informationen zu Self-Service-Patch-Updates für ElastiCache erhalten Sie unter https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.

Amazon EMR

Amazon EMR startet Cluster von Amazon EC2-Instances mit Amazon Linux für Kunden in deren VPCs. Diese Cluster akzeptieren standardmäßig keine nicht vertrauenswürdigen TCP-Verbindungen und sind daher nicht von diesen Problemen betroffen.

Kunden, die Änderungen an der Standardkonfiguration der EMR-VPC vorgenommen haben, sollten sicherstellen, dass ihre EMR-Sicherheitsgruppen die bewährten Sicherheitsmethoden von AWS befolgen. Der Netzwerkverkehr von nicht vertrauenswürdigen Clients sollte dabei blockiert werden, um das DoS-Risiko zu reduzieren. Weitere Informationen zu EMR-Sicherheitsgruppen finden Sie unter https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html.

Kunden, die sich dafür entscheiden, die EMR-Sicherheitsgruppen nicht gemäß den von AWS empfohlenen bewährten Sicherheitsmethoden zu konfigurieren (oder Betriebssystempatches benötigen, um zusätzliche Sicherheitsrichtlinien zu erfüllen), können die folgenden Anweisungen befolgen, um neue oder vorhandene EMR-Cluster zu aktualisieren und diese Probleme dadurch zu beheben. HINWEIS: Diese Updates erfordern Neustarts von Cluster-Instances und können Auswirkungen auf aktive Anwendungen haben. Kunden sollten ihre Cluster erst neu starten, wenn dies erforderlich ist.

Neue Cluster: Verwenden Sie eine EMR-Bootstrap-Aktion, um den Linux-Kernel zu aktualisieren und die einzelnen Instances neu zu starten. Weitere Informationen zu EMR-Bootstrap-Aktionen finden Sie unter https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html.

Vorhandene Cluster: Aktualisieren Sie den Linux-Kernel jeder Instance in einem Cluster und führen Sie die Neustarts nach und nach durch.