Letzte Aktualisierung: 17. Juni 2019, 17:00 Uhr PDT
CVE-Kennungen: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Hierbei handelt es sich um eine Aktualisierung zu diesem Problem.
AWS Elastic Beanstalk
Neue Linux-basierte Plattformversionen von AWS Elastic Beanstalk sind verfügbar. Kunden, die verwaltete Plattformaktualisierungen nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Alternativ können Kunden, die verwaltete Plattformaktualisierungen nutzen, verfügbare Updates bereits früher installieren, als im ausgewählten Wartungsfenster festgelegt. Dazu müssen sie auf der Konfigurationsseite "Managed Updates" (Verwaltete Updates) auf "Apply Now" (Jetzt anwenden) klicken.
Kunden, die keine verwalteten Plattformaktualisierungen nutzen, müssen die Plattformversion ihrer Umgebung wie oben beschrieben aktualisieren. Weitere Informationen zu verwalteten Plattformaktualisierungen erhalten Sie unter https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html.
Amazon Linux und Amazon Linux 2
Aktualisierte Linux-Kernel für Amazon Linux sind in den Amazon-Linux-Repositorys verfügbar und aktualisierte Amazon Linux-AMIs stehen zur Verwendung bereit. Kunden mit bestehenden EC2-Instances unter Amazon Linux sollten den folgenden Befehl innerhalb jeder EC2-Instance unter Amazon Linux ausführen, um sicherzustellen, dass sie das aktualisierte Paket erhalten:
sudo yum update kernel
Wie bei jedem Update des Linux-Kernels ist nach Abschluss des yum-Updates standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden.
Kunden, die nicht mit Amazon Linux arbeiten, wenden sich bitte an den Anbieter ihres Betriebssystems, um Updates oder Anweisungen zu erhalten, die notwendig sind, um mögliche DoS-Risiken dieser Art zu reduzieren. Weitere Informationen erhalten Sie im Amazon Linux-Sicherheitszentrum.
Amazon Elastic Compute Cloud (EC2)
EC2 Linux-basierte Instances von Kunden, die entweder TCP-Verbindungen zu oder von nicht vertrauenswürdigen Parteien, z. B. dem Internet, initiieren oder direkt empfangen, benötigen Betriebssystempatches, um mögliche DoS-Risiken dieser Art zu reduzieren. HINWEIS: Kunden, die Amazon Elastic Load Balancing (ELB) verwenden, erhalten unter "Elastic Load Balancing (ELB)" weitere Informationen.
Elastic Load Balancing (ELB)
TCP Network Load Balancers (NLBs) filtern den Datenverkehr nur, wenn sie dafür konfiguriert werden, TLS-Sitzungen zu beenden. Bei NLBs, die zum Beenden von TLS-Sitzungen konfiguriert sind, müssen Kunden zur Problembehebung nichts weiter tun.
Linux-basierte EC2-Instances mit TCP NLBs, die TLS-Sitzungen nicht beenden, erfordern Betriebssystempatches, um mögliche DoS-Risiken in Zusammenhang mit diesen Problemen zu reduzieren. Aktualisierte Kernels für Amazon Linux sind jetzt verfügbar. Anweisungen zur Aktualisierung von EC2-Instances, die derzeit unter Amazon Linux ausgeführt werden, finden Sie oben. Kunden, die nicht mit Amazon Linux arbeiten, wenden sich bitte an den Anbieter ihres Betriebssystems, um Updates oder Anweisungen zu erhalten, die zur Reduzierung möglicher DoS-Risiken nötig sind.
Linux-basierte EC2-Instances mit Elastic Load Balancing (ELB) Classic Load Balancers, Application Load Balancers oder Network Load Balancers mit TLS-Terminierung (TLS NLB) erfordern keinen Handlungsbedarf vonseiten des Kunden. ELB Classic und ALB filtern den eingehenden Datenverkehr, um mögliche DoS-Risiken hinsichtlich dieser Probleme zu filtern.
Amazon WorkSpaces (Linux)
Alle neuen Amazon Linux WorkSpaces werden mit den aktualisierten Kernels gestartet. Die aktualisierten Kernels für Amazon Linux 2 wurden bereits für vorhandene Amazon Linux WorkSpaces installiert.
Wie bei jedem Update des Linux-Kernels ist standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden. Wir empfehlen Kunden, so schnell wie möglich einen manuellen Neustart durchzuführen. Andernfalls wird Amazon Linux WorkSpaces am 18. Juni zwischen 00:00 und 4:00 Uhr lokaler Zeit automatisch neu gestartet.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Alle Amazon EKS-Cluster, die derzeit in Betrieb sind, sind vor diesen Problemen geschützt. Amazon EKS hat am 17. Juni 2019 aktualisierte, für EKS optimierte Amazon Machine Images (AMIs) mit dem gepatchten Amazon Linux 2-Kernel veröffentlicht. Weitere Informationen zum für EKS optimierten AMI erhalten Sie hier: https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
EKS-Kunden sollten alle Worker-Knoten ersetzen, um die aktuelle für EKS optimierte AMI-Version nutzen zu können. Anweisungen zur Aktualisierung von Worker-Knoten erhalten Sie unter https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Amazon ElastiCache
Amazon ElastiCache startet Cluster von Amazon EC2-Instances mit Amazon Linux in Kunden-VPCs. Diese akzeptieren standardmäßig keine nicht vertrauenswürdigen TCP-Verbindungen und sind von diesen Problemen nicht betroffen.
Kunden, die Änderungen an der Standardkonfiguration der ElastiCache-VPC vorgenommen haben, sollten sicherstellen, dass ihre ElastiCache-Sicherheitsgruppen die bewährten Sicherheitsmethoden von AWS befolgen. Die Sicherheitsgruppen sollten so konfiguriert werden, dass sie den Netzwerkverkehr von nicht vertrauenswürdigen Clients blockieren, damit das DoS-Risiko reduziert wird. Weitere Informationen zur Konfiguration der ElastiCache-VPC erhalten Sie unter https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Kunden, die ihre ElastiCache-Cluster außerhalb ihrer VPCs ausführen und Änderungen an der Standardkonfiguration vorgenommen haben, sollten den vertrauenswürdigen Zugriff über ElastiCache-Sicherheitsgruppen konfigurieren. Weitere Informationen zur Erstellung von ElastiCache-Sicherheitsgruppen erhalten Sie unter https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html.
Das ElastiCache-Team wird in Kürze einen neuen Patch veröffentlichen, mit dem diese Probleme behoben werden. Wir benachrichtigen unsere Kunden, sobald der Patch verfügbar ist. Die Kunden können ihre Cluster dann über die Self-Service-Update-Funktion für ElastiCache aktualisieren. Weitere Informationen zu Self-Service-Patch-Updates für ElastiCache erhalten Sie unter https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR startet Cluster von Amazon EC2-Instances mit Amazon Linux für Kunden in deren VPCs. Diese Cluster akzeptieren standardmäßig keine nicht vertrauenswürdigen TCP-Verbindungen und sind daher nicht von diesen Problemen betroffen.
Kunden, die Änderungen an der Standardkonfiguration der EMR-VPC vorgenommen haben, sollten sicherstellen, dass ihre EMR-Sicherheitsgruppen die bewährten Sicherheitsmethoden von AWS befolgen. Der Netzwerkverkehr von nicht vertrauenswürdigen Clients sollte dabei blockiert werden, um das DoS-Risiko zu reduzieren. Weitere Informationen zu EMR-Sicherheitsgruppen finden Sie unter https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html.
Kunden, die sich dafür entscheiden, die EMR-Sicherheitsgruppen nicht gemäß den von AWS empfohlenen bewährten Sicherheitsmethoden zu konfigurieren (oder Betriebssystempatches benötigen, um zusätzliche Sicherheitsrichtlinien zu erfüllen), können die folgenden Anweisungen befolgen, um neue oder vorhandene EMR-Cluster zu aktualisieren und diese Probleme dadurch zu beheben. HINWEIS: Diese Updates erfordern Neustarts von Cluster-Instances und können Auswirkungen auf aktive Anwendungen haben. Kunden sollten ihre Cluster erst neu starten, wenn dies erforderlich ist.
Neue Cluster: Verwenden Sie eine EMR-Bootstrap-Aktion, um den Linux-Kernel zu aktualisieren und die einzelnen Instances neu zu starten. Weitere Informationen zu EMR-Bootstrap-Aktionen finden Sie unter https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html.
Vorhandene Cluster: Aktualisieren Sie den Linux-Kernel jeder Instance in einem Cluster und führen Sie die Neustarts nach und nach durch.