Está viendo la versión anterior de este boletín de seguridad. Para obtener la versión más reciente, visite: “Divulgación de la investigación de ejecución especulativa del procesador”.
Asunto: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Última actualización: 17/01/2018, 12:00 h PST
Esta es una actualización para este problema.
Se encuentra disponible un kernel actualizado para Amazon Linux dentro de los repositorios de Amazon Linux. Las instancias EC2 lanzadas con la configuración predeterminada de Amazon Linux el 13 de enero de 2018 o después de dicha fecha incluirán de forma automática el paquete actualizado. Este paquete contendrá las últimas mejoras de seguridad estables de código abierto de Linux para tratar los CVE-2017-5715 dentro del kernel y se basa en el aislamiento de tablas de páginas del kernel (KPTI) incorporado anteriormente que abordó los CVE-2017-5754. Los clientes deben actualizar el kernel o la AMI de Amazon Linux a la última versión para mitigar efectivamente los problemas de proceso a proceso de los CVE-2017-5715 y los problemas de proceso a kernel de los CVE-2017-5754 dentro de sus instancias. Para obtener más información, consulte la “Ejecución especulativa del procesador: actualizaciones del sistema operativo”.
Consulte la información de “Asesoramiento sobre instancias PV” más adelante sobre las instancias paravirtualizadas (PV).
Amazon EC2
Todas las instancias de la flota de Amazon EC2 están protegidas contra todos los problemas conocidos de instancia a instancia de CVE-2017-5715, CVE-2017-5753 y CVE-2017-5754. Los problemas de instancia a instancia suponen que una instancia vecina que no es de confianza puede leer la memoria de otra instancia o del hipervisor de AWS. Este problema se abordó para los hipervisores de AWS y ninguna instancia puede leer la memoria de otra instancia ni tampoco la memoria del hipervisor de AWS. Como se mencionó anteriormente, no hemos notado un impacto significativo en el rendimiento para la gran mayoría de las cargas de trabajo de EC2.
Hemos identificado una pequeña cantidad de fallas de instancias y aplicaciones que se produjeron como consecuencia de las actualizaciones de microcódigo de Intel, y trabajamos directamente con los clientes afectados. Acabamos de completar la desactivación de partes del nuevo microcódigo de la CPU de Intel para las plataformas en AWS donde veíamos estos problemas. Esto parece mitigar el problema para estas instancias. Todas las instancias de la flota de Amazon EC2 permanecen protegidas contra todos los vectores de amenazas conocidos. El microcódigo de Intel deshabilitado proporcionó protecciones adicionales contra los vectores teóricos de amenaza del problema CVE-2017-5715. Esperamos reactivar estas protecciones adicionales (junto con algunas optimizaciones de rendimiento adicionales sobre las que hemos trabajado) a la brevedad posible, una vez que Intel proporcione un microcódigo actualizado.
Acciones recomendadas para el cliente respecto a AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce y Amazon Lightsail
Si bien todas las instancias del cliente están protegidas como se describió anteriormente, recomendamos a los clientes que implementen un parche a sus sistemas operativos de instancia para tratar los problemas de proceso a proceso o de proceso a kernel. Para obtener instrucciones y asesoramiento sobre Amazon Linux y Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE, y Ubuntu, consulte la “Ejecución especulativa del procesador: actualizaciones del sistema operativo”.
Asesoramiento sobre instancias PV
Después de una investigación continua y un análisis detallado sobre los parches del sistema operativo disponibles para este problema, hemos determinado que las protecciones de los sistemas operativos no son suficientes para tratar los problemas de proceso a proceso dentro de las instancias paravirtualizadas (PV). Aunque los hipervisores de AWS protegen las instancias PV de cualquier problema de instancia a instancia, tal y como se indicó anteriormente, recomendamos a los clientes a los que les preocupe el aislamiento del proceso dentro de sus instancias PV (por ejemplo, procesar datos, ejecutar códigos y alojar usuarios que no son de confianza) que migren a tipos de instancia HVM para obtener beneficios de seguridad a largo plazo.
Para obtener más información sobre las diferencias entre PV y HVM (así como la documentación de la ruta de actualización de una instancia), consulte la siguiente página web:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Si necesita ayuda con las rutas de actualización para cualquier instancia PV, haga clic en Soporte.
Actualizaciones de otros servicios de AWS
Para los siguientes servicios fue necesario implementar parches a las instancias EC2 administradas en nombre de los clientes. Se ha completado todo el trabajo y no fue necesario que el cliente realizara ninguna acción:
- Fargate
- Lambda
A menos que se indique lo contrario a continuación, no es necesario que el cliente realice ninguna acción en relación con los demás servicios de AWS.
AMI optimizada para ECS
Hemos lanzado la versión 2017.09.f de AMI optimizada para Amazon ECS, que incorpora todas las protecciones de Amazon Linux para este problema, incluida la segunda actualización del kernel de Amazon Linux mencionada anteriormente. Recomendamos a todos los clientes de Amazon ECS que se actualicen a esta última versión disponible en AWS Marketplace. Continuaremos con la incorporación de mejoras de Amazon Linux a medida que estén disponibles.
Los clientes que decidan actualizar las instancias existentes de la AMI optimizada para ECS deben ejecutar el siguiente comando a fin de asegurarse de que recibirán el paquete actualizado:
sudo yum update kernel
Como en cada actualización del kernel de Linux, después de que la actualización yum se haya completado, es necesario reiniciar para que las actualizaciones entren en funcionamiento.
Para los clientes de Linux que no utilicen la AMI optimizada para ECS, se recomienda que consulten con el proveedor de cualquier sistema operativo, software o AMI alternativos o de terceros a fin de obtener las actualizaciones e instrucciones necesarias. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de la AMI de Amazon Linux.
Hemos lanzado la versión 2018.01.10 de la AMI de Windows optimizada para Amazon ECS. Para obtener más información sobre cómo implementar parches a las instancias en ejecución, consulte la “Ejecución especulativa del procesador: actualizaciones del sistema operativo”.
Elastic Beanstalk
Hemos actualizado todas las plataformas basadas en Linux para incorporar todas las protecciones de Amazon Linux y, así, tratar este problema. Para obtener más información sobre las versiones específicas de las plataformas, consulte las notas de la versión. Recomendamos a los clientes de Elastic Beanstalk que actualicen sus entornos a la última versión de la plataforma disponible. Los entornos que utilicen actualizaciones administradas se actualizarán automáticamente durante el período de mantenimiento configurado.
Las plataformas basadas en Windows también se han actualizado para incorporar todas las protecciones de EC2 Windows y, así, tratar este problema. Recomendamos a los clientes actualizar sus entornos Elastic Beanstalk basados en Windows a la última configuración de plataforma disponible.
ElastiCache
Los nodos de caché de clientes que administra ElastiCache solo se dedican a ejecutar un motor de caché para un único cliente, sin ningún otro proceso accesible para el cliente y sin la posibilidad de que los clientes ejecuten códigos en la instancia subyacente. Debido a que AWS ha finalizado la protección de toda la infraestructura subyacente a ElastiCache, los problemas de proceso a kernel o de proceso a proceso no representan un riesgo para los clientes. Ambos motores de caché que admite ElastiCache no han informado sobre problemas conocidos dentro del proceso hasta el momento.
EMR
Amazon EMR lanza clústeres de instancias de Amazon EC2 que ejecutan Amazon Linux en nombre de los clientes en la cuenta del cliente. Los clientes a los que les preocupe el aislamiento de los procesos dentro de las instancias de los clústeres de Amazon EMR deben actualizar el kernel de Amazon Linux a su última versión, tal como se recomendó anteriormente. Estamos en el proceso de incorporar el último kernel de Amazon Linux en una nueva versión menor en las ramificaciones 5.11.x y 4.9.x. Los clientes podrán crear nuevos clústeres de Amazon EMR con estas versiones. Actualizaremos este boletín a medida que estas versiones se encuentren disponibles.
Para obtener las versiones actuales de Amazon EMR y cualquier instancia en ejecución que el cliente pudiera tener, recomendamos a los clientes actualizar al último kernel de Amazon Linux como se mencionó anteriormente. En el caso de los clústeres nuevos, los clientes pueden utilizar una acción de arranque para actualizar el kernel de Linux y reiniciar cada instancia. En el caso de los clústeres en ejecución, los clientes pueden facilitar la actualización del kernel de Linux y reiniciar cada instancia en su clúster de forma continua. Tenga en cuenta que reiniciar ciertos procesos puede afectar a las aplicaciones en ejecución dentro del clúster.
RDS
Las instancias de la base de datos de clientes administradas por RDS solo se dedican a ejecutar un motor de base de datos para un único cliente, sin ningún otro proceso accesible para el cliente y sin la posibilidad de que los clientes ejecuten códigos en la instancia subyacente. Debido a que AWS ha finalizado la protección de toda la infraestructura subyacente a RDS, los problemas de proceso a kernel o de proceso a proceso no representan un riesgo para los clientes. La mayoría de los motores de bases de datos compatibles con RDS hasta el momento no han informado problemas conocidos dentro del proceso. A continuación, se mencionan detalles adicionales y específicos del motor de base de datos y, a menos que se especifique lo contrario, no se requiere acción alguna por parte del cliente.
En cuanto a RDS para las instancias de base de datos de SQL Server, lanzaremos parches para SO y motores de base de datos una vez que Microsoft los lance, para que los clientes puedan realizar las actualizaciones en el momento que lo deseen. Actualizaremos el presente boletín cuando tales actualizaciones se hayan completado. Mientras tanto, los clientes que hayan habilitado CLR (deshabilitado de forma predeterminada) deben revisar la guía de Microsoft sobre cómo deshabilitar la extensión CLR en https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
En el caso de RDS PostgreSQL y Aurora PostgreSQL, no se requiere actualmente ninguna acción por parte del cliente para las instancias de base de datos que se ejecutan en la configuración predeterminada. Una vez que las extensiones plv8 estén disponibles, proporcionaremos los parches adecuados para los usuarios de dichas extensiones. Mientras tanto, los clientes que hayan habilitado las extensiones plv8 (deshabilitadas de forma predeterminada) deberían considerar deshabilitarlas y revisar el asesoramiento de V8 en https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Actualmente, no se requiere ninguna acción por parte del cliente para las instancias de base de datos de RDS for MariaDB, RDS for MySQL, Aurora MySQL y RDS for Oracle.
VMware Cloud on AWS
Por VMware, “La solución, tal y como se documenta en VMSA-2018-0002, está presente en VMware Cloud on AWS desde principios de diciembre de 2017”.
Para obtener más información, consulte el Blog de seguridad y conformidad de VMware y para consultar el estado actualizado, visite https://status.vmware-services.io.
WorkSpaces
Para los clientes de la experiencia Windows 7 en Windows Server 2008 R2:
Microsoft ha lanzado nuevas actualizaciones de seguridad para Windows Server 2008 R2 en relación con este problema. La entrega exitosa de estas actualizaciones requiere un software de Antivirus compatible que se ejecute en el servidor, tal como se menciona en la actualización de seguridad de Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Los clientes de WorkSpaces necesitarán realizar distintas acciones para obtener estas actualizaciones. Siga las instrucciones de Microsoft en: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Para los clientes de la experiencia Windows 10 en Windows Server 2016:
AWS ha implementado actualizaciones de seguridad en WorkSpaces que ejecutan la experiencia Windows 10 en Windows Server 2016. Windows 10 cuenta con el software de Antivirus de Windows Defender, que es compatible con estas actualizaciones de seguridad. No se requiere ninguna acción por parte del cliente.
Para BYOL y clientes con configuraciones de actualización predeterminadas modificadas:
Tenga en cuenta que los clientes que utilicen la característica Bring Your Own License (BYOL) de WorkSpaces y los que hayan cambiado la configuración de actualización predeterminada en WorkSpaces deben implementar de forma manual las actualizaciones de seguridad que proporciona Microsoft. Si este es su caso, siga las instrucciones de la nota oficial sobre seguridad de Microsoft en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. La nota oficial sobre seguridad incluye enlaces a artículos de base de conocimientos para Windows Server y sistemas operativos del cliente que proporcionan información adicional.
Próximamente estarán disponibles los paquetes de WorkSpaces con las actualizaciones de seguridad. Los clientes que hayan creado paquetes personalizados deben actualizar sus paquetes para poder incorporar las actualizaciones de seguridad por su cuenta. Cualquier WorkSpace que se lance a través de paquetes sin las actualizaciones correspondientes recibirá parches tan pronto sea posible después del lanzamiento, a menos que los clientes hayan modificado la configuración predeterminada de actualización en su WorkSpace o que hayan instalado un software de antivirus incompatible. En este último caso, los clientes deben seguir los pasos mencionados anteriormente para implementar de forma manual las actualizaciones de seguridad que proporciona Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos a los clientes que elijan alguna de las siguientes acciones:
Opción 1: implementar manualmente las actualizaciones de Microsoft en las instancias en ejecución de empaquetador y validador de WAM mediante los pasos que proporciona Microsoft en https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Esta página brinda instrucciones adicionales y descargas relevantes.
Opción 2: finalizar las instancias existentes de empaquetador y validador. Lance nuevas instancias a través de nuestras AMI actualizadas con la etiqueta “Amazon WAM Admin Studio 1.5.1” y “Amazon WAM Admin Player 1.5.1”.