Está viendo una versión anterior del boletín de seguridad. Para obtener la versión más reciente, consulte “Divulgación de la investigación de ejecución especulativa del procesador”.

Asunto: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Última actualización: 13/01/2018, 13:00 h PST

Esta es una actualización en relación con este problema.

Ya está disponible una segunda versión del kernel para Amazon Linux, la cual aborda los errores de Aislamiento de tablas de páginas del kernel (KPTI, Kernel Page Table Isolation) y mejora las mitigaciones para CVE-2017-5754. Los clientes deben actualizar el kernel o la AMI de Amazon Linux a su última versión para mitigar de forma efectiva los problemas de proceso a proceso de CVE-2017-5754 dentro de sus instancias. Consulte la información de “AMI de Amazon Linux” que se proporciona a continuación.  

Consulte la información de “Asesoramiento sobre instancias PV” más adelante respecto de las instancias paravirtualizadas (PV).

Amazon EC2

Todas las instancias de la flota de Amazon EC2 están protegidas contra cualquier problema conocido de instancia a instancia de CVE mencionadas anteriormente. Los problemas de instancia a instancia suponen que una instancia vecina que no es de confianza puede leer la memoria de otra instancia o del hipervisor de AWS. Se resolvió este problema para los hipervisores de AWS, y ninguna instancia puede leer la memoria de otra instancia ni tampoco la memoria del hipervisor de AWS. Como se mencionó anteriormente, no hemos notado un impacto significativo en el rendimiento para la gran mayoría de las cargas de trabajo de EC2.

Hemos identificado una pequeña cantidad de fallas de instancias y de aplicaciones causadas por las actualizaciones del microcódigo de Intel, y estamos trabajando directamente con los clientes afectados. Acabamos de completar la desactivación de partes del nuevo microcódigo de la CPU de Intel para las plataformas en AWS donde veíamos estos problemas. Esto parece mitigar el problema para estas instancias. Todas las instancias en la flota de Amazon EC2 permanecen protegidas contra todos los vectores de amenazas conocidos. El microcódigo de Intel deshabilitado proporcionó protecciones adicionales contra los vectores teóricos de amenaza del problema CVE-2017-5715. Esperamos reactivar estas protecciones adicionales (junto con algunas optimizaciones de rendimiento adicionales en las que hemos trabajado) en el futuro cercano una vez que Intel proporcione un microcódigo actualizado.

Acciones recomendadas para el cliente respecto de AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce y Amazon Lightsail

Si bien todas las instancias del cliente están protegidas como se describe anteriormente, recomendamos a los clientes que implementen un parche en los sistemas operativos de sus instancias para aislar el software que se ejecuta dentro de la misma instancia y para mitigar los problemas de proceso a proceso de CVE-2017-5754. Para obtener más información, consulte el asesoramiento específico del proveedor respecto de la disponibilidad y de la implementación de parches.

Asesoramiento específico del proveedor:

Para los sistemas operativos no mencionados, los clientes deben comunicarse con su proveedor de sistema operativo o AMI para obtener actualizaciones e instrucciones.

Asesoramiento sobre instancias PV

Después de una investigación continua y un análisis detallado sobre los parches del sistema operativo disponibles para este problema, hemos determinado que las protecciones de los sistemas operativos no son suficientes para tratar los problemas de proceso a proceso dentro de las instancias paravirtualizadas (PV). Aunque los hipervisores de AWS protegen las instancias PV ante cualquier problema de instancia a instancia, tal y como se indicó anteriormente, recomendamos a los clientes que estén preocupados por el aislamiento del proceso dentro de sus instancias PV (p. ej., procesar datos, ejecutar códigos y alojar usuarios que no son de confianza) que migren a tipos de instancia de máquina virtual de hardware (HVM, hardware virtual machine) para obtener beneficios de seguridad a largo plazo.

Para obtener más información sobre las diferencias entre PV y HVM (así como la documentación de la ruta de actualización de una instancia), consulte la siguiente página web:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Si necesita ayuda con las rutas de actualización para cualquier instancia PV, solicite Soporte.

Actualizaciones de otros servicios de AWS

Para los siguientes servicios, fue necesario implementar parches a las instancias EC2 administradas en nombre de los clientes y finalizar todo el trabajo, pero no fue necesario que el cliente realizara ninguna acción:

  • AWS Fargate
  • AWS Lambda

A menos que se indique lo contrario a continuación, no es necesario que el cliente realice ninguna acción en los demás servicios de AWS.

AMI de Amazon Linux (ID del boletín: ALAS-2018-939)

Se encuentra disponible un kernel actualizado para Amazon Linux dentro de los repositorios de Amazon Linux. Las instancias EC2 lanzadas con la configuración predeterminada de Amazon Linux a partir del 8 de enero de 2018 incluirán automáticamente el paquete actualizado, el cual aborda los errores KPTI y mejora las mitigaciones para CVE-2017-5754.

NOTA: Los clientes deben actualizar el kernel o la AMI de Amazon Linux a su última versión para mitigar de forma efectiva CVE-2017-5754 dentro de sus instancias. Continuaremos proporcionando mejoras y AMI actualizadas de Amazon Linux, e incorporaremos contribuciones de código abierto de la comunidad de Linux que aborden este problema a medida que estén disponibles.

Los clientes que ya cuenten con instancias de AMI de Amazon Linux deben ejecutar el siguiente comando para asegurarse de que recibirán el paquete actualizado:

sudo yum update kernel

Como en el procedimiento estándar de cada actualización del kernel de Linux, después de que se haya completado la actualización yum, es necesario reiniciarlo para que las actualizaciones entren en funcionamiento.

Para obtener más información sobre este boletín, consulte el Centro de seguridad de la AMI de Amazon Linux.

En el caso de Amazon Linux 2, siga las instrucciones de Amazon Linux descritas anteriormente.

EC2 Windows

Hemos actualizado las AMI de Windows de AWS. Ya están disponibles para que los clientes las utilicen y tienen el parche necesario instalado y las claves de registro habilitadas.

Microsoft ha proporcionado parches de Windows para Server 2008R2, 2012R2 y 2016. Los parches están disponibles a través del servicio integrado Windows Update para Server 2016. Estamos a la espera de información de Microsoft sobre la disponibilidad de parches para Server 2003, 2008SP2 y 2012RTM.

Los clientes de AWS que ejecuten instancias de Windows en EC2 y que tengan habilitada la opción “Automatic Updates” (Actualizaciones automáticas), deben ejecutar actualizaciones automáticas para descargar e instalar la actualización necesaria para Windows cuando esté disponible.

Tenga en cuenta que los parches para Server 2008R2 y 2012R2 no están disponibles en este momento a través de Windows Update, por lo que requieren descarga manual. Microsoft informó anteriormente que estos parches estarían disponibles a partir del martes 9 de enero. Sin embargo, continuamos esperando información sobre su disponibilidad.

Los clientes de AWS que ejecuten instancias de Windows en EC2 y que no tengan habilitada la opción “Automatic Updates” (Actualizaciones automáticas), deben instalar la actualización necesaria de manera manual cuando esté disponible. Para ello, deben seguir las instrucciones del siguiente enlace: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Tenga en cuenta que, para Windows Server, Microsoft requiere pasos adicionales a fin de habilitar las características de protección de la actualización relativas a este problema. Dichos pasos se describen aquí: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI optimizada para ECS

Hemos lanzado la versión 2017.09.f de la AMI optimizada para Amazon ECS, la cual incorpora todas las protecciones de Amazon Linux para este problema, incluida la segunda actualización del kernel de Amazon Linux que se mencionó anteriormente. Aconsejamos a todos los clientes de Amazon ECS que se actualicen a esta última versión, que se encuentra disponible en AWS Marketplace. Continuaremos incorporando mejoras de Amazon Linux a medida que estén disponibles.

Los clientes que decidan actualizar las instancias existentes de la AMI optimizada para ECS deben ejecutar el siguiente comando para asegurarse de que recibirán el paquete actualizado:

sudo yum update kernel

Como en el procedimiento estándar de cada actualización del kernel de Linux, después de que se haya completado la actualización yum, es necesario reiniciarlo para que las actualizaciones entren en funcionamiento.

A los clientes de Linux que no utilicen la AMI optimizada para ECS, se les recomienda que consulten con el proveedor del sistema operativo, del software o de la AMI alternativos o de terceros a fin de obtener las actualizaciones y las instrucciones necesarias. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de la AMI de Amazon Linux.

Estamos actualizando la AMI de Windows optimizada para Amazon ECS y actualizaremos este boletín cuando esté disponible. Microsoft ha proporcionado parches de Windows para Server 2016. Para obtener más información acerca de cómo implementar parches en las instancias en ejecución, consulte https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Elastic Beanstalk

Hemos actualizado todas las plataformas basadas en Linux para incorporar todas las protecciones de Amazon Linux contra este problema. Para obtener más información sobre las versiones específicas de las plataformas, consulte las notas de la versión. Recomendamos a los clientes de Elastic Beanstalk que actualicen sus entornos a la última versión disponible de la plataforma. Los entornos que utilicen actualizaciones administradas se actualizarán automáticamente durante el periodo de mantenimiento configurado.

Las plataformas basadas en Windows también se han actualizado para incorporar todas las protecciones de EC2 Windows contra este problema. Recomendamos a los clientes actualizar sus entornos de Elastic Beanstalk basados en Windows a la última configuración disponible de la plataforma.

ElastiCache

Los nodos de caché de clientes que administra ElastiCache se dedican exclusivamente cada uno a ejecutar un motor de caché para un único cliente, sin ningún otro proceso accesible para el cliente y sin la posibilidad de que los clientes ejecuten códigos en la instancia subyacente. Debido a que AWS ha finalizado la protección de toda la infraestructura subyacente a ElastiCache, los problemas de proceso a kernel o de proceso a proceso no representan un riesgo para los clientes. Ninguno de los dos motores de caché que ElastiCache admite ha informado sobre problemas conocidos dentro del proceso hasta el momento.

EMR

Amazon EMR lanza clústeres de instancias de Amazon EC2 que ejecutan Amazon Linux en nombre de los clientes en la cuenta del cliente. Los clientes que estén preocupados por el aislamiento del proceso dentro de las instancias de los clústeres de Amazon EMR deben actualizarse al último kernel de Amazon Linux como se recomienda anteriormente. Estamos en el proceso de incorporar el último kernel de Amazon Linux en una nueva versión secundaria con las ramificaciones 5.11.x y 4.9.x. Con estas versiones, los clientes podrán crear nuevos clústeres de Amazon EMR. Actualizaremos este boletín a medida que las versiones estén disponibles.

Para las versiones actuales de Amazon EMR y cualquier instancia asociada en ejecución que el cliente pueda tener, recomendamos la actualización al último kernel de Amazon Linux como se menciona anteriormente. En el caso de nuevos clústeres, los clientes pueden utilizar una acción de arranque para actualizar el kernel de Linux y reiniciar cada instancia. En el caso de los clústeres en ejecución, los clientes pueden facilitar la actualización del kernel de Linux y el reinicio de cada instancia en su clúster de forma continua. Tenga en cuenta que reiniciar ciertos procesos puede afectar las aplicaciones en ejecución dentro del clúster.

RDS

Las instancias de base de datos del cliente que administra RDS se dedican exclusivamente cada una a ejecutar un motor de base de datos para un único cliente, sin ningún otro proceso accesible para el cliente y sin la posibilidad de que los clientes ejecuten códigos en la instancia subyacente. Debido a que AWS ha finalizado la protección de toda la infraestructura subyacente a RDS, los problemas de proceso a kernel o de proceso a proceso no representan un riesgo para los clientes. La mayoría de los motores de bases de datos que RDS admite no han informado sobre problemas conocidos dentro del proceso hasta el momento. A continuación, se mencionan detalles adicionales y específicos del motor de base de datos y, a menos que se especifique lo contrario, no se requiere acción alguna por parte del cliente.

En cuanto a las instancias de base de datos de RDS for SQL Server, lanzaremos parches para el sistema operativo y los motores de base de datos una vez que Microsoft habilite su disponibilidad, a fin de que los clientes puedan realizar las actualizaciones en el momento que lo deseen. Actualizaremos este boletín cuando se haya completado cualquiera de los dos recursos. Mientras tanto, los clientes que hayan habilitado CLR (deshabilitado de forma predeterminada) deben revisar el asesoramiento de Microsoft relativo a la deshabilitación de la extensión CLR en https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

Para RDS PostgreSQL y Aurora PostgreSQL, no se requiere actualmente acción alguna por parte del cliente para las instancias de base de datos que se ejecuten en la configuración predeterminada. Brindaremos los parches correspondientes a los usuarios de las extensiones plv8 una vez que estén disponibles. Mientras tanto, los clientes que hayan habilitado las extensiones plv8 (deshabilitadas de forma predeterminada) deben considerar deshabilitarlas y revisar el asesoramiento de V8 en https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Actualmente, no se requiere ninguna acción por parte del cliente para las instancias de base de datos de RDS for MariaDB, RDS for MySQL, Aurora MySQL y RDS for Oracle.

VMware Cloud on AWS

Por VMware, “la solución, tal y como se documenta en VMSA-2018-0002, está presente en VMware Cloud on AWS desde principios de diciembre de 2017”.

Para obtener más información, consulte VMware Security & Compliance Blog y, para consultar el estado actualizado, visite https://status.vmware-services.io.

WorkSpaces

Para los clientes de la experiencia Windows 7 en Windows Server 2008 R2:

Microsoft ha lanzado nuevas actualizaciones de seguridad para Windows Server 2008 R2 en relación con este problema. La entrega correcta de estas actualizaciones requiere un software de antivirus compatible que se ejecute en el servidor como se menciona en la actualización de seguridad de Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Los clientes de WorkSpaces deben tomar medidas para obtener estas actualizaciones. Siga las instrucciones proporcionadas por Microsoft en https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Para los clientes de la experiencia Windows 10 en Windows Server 2016:

AWS ha implementado actualizaciones de seguridad a los WorkSpaces que ejecutan la experiencia Windows 10 en Windows Server 2016. Windows 10 cuenta con el software de antivirus Windows Defender integrado, el cual es compatible con estas actualizaciones de seguridad. No se requiere ninguna otra acción por parte del cliente.

Para BYOL y clientes con configuraciones de actualización predeterminadas que se han modificado:

Tenga en cuenta que los clientes que utilicen la característica Bring Your Own License (BYOL) de WorkSpaces y los que hayan cambiado la configuración de actualización predeterminada en sus WorkSpaces deben implementar de forma manual las actualizaciones de seguridad de Microsoft. Si este es su caso, siga las instrucciones proporcionadas por el aviso de seguridad de Microsoft en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. El aviso de seguridad incluye enlaces a artículos de base de conocimientos para los sistemas operativos cliente y Windows Server que proporcionan información adicional.

Próximamente, estarán disponibles los paquetes de WorkSpaces con las actualizaciones de seguridad. Los clientes que hayan creado paquetes personalizados deben actualizarlos para poder incorporar las actualizaciones de seguridad por su cuenta. Cualquier nuevo WorkSpaces que se lance de paquetes que no cuenten con las actualizaciones recibirá parches poco tiempo después del lanzamiento, a menos que los clientes hayan modificado la configuración predeterminada de actualización en su WorkSpaces o que hayan instalado un software de antivirus no compatible. En estos casos, los clientes deben seguir los pasos mencionados anteriormente para implementar de forma manual las actualizaciones de seguridad que proporciona Microsoft.

WorkSpaces Application Manager (WAM)

Recomendamos a los clientes que elijan una de las siguientes trayectorias de acción:

Opción 1: implemente manualmente las actualizaciones de Microsoft en las instancias en ejecución de empaquetador y validador de WAM siguiendo los pasos proporcionados por Microsoft en https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Esta página ofrece más instrucciones y descargas relevantes.

Opción 2: termine las instancias existentes de empaquetador y validador. Lance nuevas instancias a través de nuestras AMI actualizadas con las etiquetas “Amazon WAM Admin Studio 1.5.1” y “Amazon WAM Admin Player 1.5.1”.