Está viendo una versión anterior de este boletín de seguridad. Para obtener la versión más reciente, visite: “Divulgación de la investigación de ejecución especulativa del procesador”.
Última actualización: 04/01/2017, 15:30 h PST
Esta es una actualización del problema.
Amazon EC2
Todas las instancias de la flota de Amazon EC2 están protegidas contra todos los vectores de amenazas conocidos de los CVE mencionadas anteriormente. Las instancias de los clientes están protegidas contra estas amenazas provenientes de otras instancias. No hemos observado un impacto significativo en el rendimiento de la gran mayoría de las cargas de trabajo de EC2.
Acciones recomendadas para el cliente respecto a AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce y Amazon Lightsail
Si bien todas las instancias de cliente están protegidas, recomendamos a los clientes que apliquen parches a los sistemas operativos de instancias. Esto reforzará las protecciones que ofrecen estos sistemas operativos para aislar el software que se ejecuta en esta instancia. Para más información, consulte la guía específica del proveedor relativa a la disponibilidad e implementación de parches.
Guía específica del proveedor:
- Amazon Linux - Más información a continuación.
- Microsoft Windows - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- Red Hat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSE Linux - https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities
Para los sistemas operativos no mencionados, los clientes deben consultar con su proveedor de sistema operativo o AMI para obtener actualizaciones e instrucciones.
Actualizaciones de otros servicios de AWS
AMI de Amazon Linux (ID del boletín: ALAS-2018-939)
Se encuentra disponible un kernel actualizado para Amazon Linux dentro de los repositorios de Amazon Linux. Las instancias EC2 lanzadas con la configuración predeterminada de Amazon Linux el 3 de enero de 2018, a las 22:45 h (GMT) o después de dicha fecha incluirán automáticamente el paquete actualizado. Los clientes que ya cuenten con instancias de AMI de Amazon Linux deben ejecutar el siguiente comando para asegurarse de que recibirán el paquete actualizado:
sudo yum update kernel
Una vez completada la actualización yum, es necesario reiniciar la instancia para que las actualizaciones surtan efecto.
Para más información sobre este boletín, consulte el Centro de seguridad de la AMI de Amazon Linux.
EC2 Windows
Estamos actualizando la AMI predeterminada de Windows Server y actualizaremos este boletín cuando esté disponible.
Amazon FreeRTOS
No hay actualizaciones pendientes para Amazon FreeRTOS y los procesadores ARM compatibles.
AWS Lambda
Se implementaron parches, como se describió anteriormente, en todas las instancias que ejecutan funciones de Lambda y no se requiere acción alguna por parte del cliente.
VMware Cloud on AWS
Para más información, consulte aquí la nota oficial sobre seguridad de VMware: https://www.vmware.com/security/advisories/VMSA-2018-0002.html
WorkSpaces
Durante el próximo fin de semana, AWS aplicará las actualizaciones de seguridad de Microsoft a la mayoría de los WorkSpaces de AWS. Los clientes deben esperar que se produzca el reinicio de sus WorkSpaces durante este periodo.
Los clientes que utilicen la característica Bring Your Own License (BYOL) y los que hayan cambiado la configuración de actualización predeterminada en sus WorkSpaces deben implementar de forma manual las actualizaciones de seguridad de Microsoft.
Siga las instrucciones que ofrece la nota oficial sobre seguridad de Microsoft en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. La nota oficial sobre seguridad incluye enlaces a artículos de base de conocimientos para Windows Server y sistemas operativos del cliente que proporcionan información adicional.
Próximamente estarán disponibles los paquetes de WorkSpaces con las actualizaciones de seguridad. Los clientes que hayan creado paquetes personalizados deben actualizarlos para poder incorporar ellos mismos las actualizaciones de seguridad. Cualquier WorkSpaces nuevo que se lance mediante paquetes que no cuenten con las actualizaciones, recibirá parches tan pronto sea posible después del lanzamiento, a menos que los clientes hayan modificado la configuración predeterminada de actualización en sus WorkSpaces. En este último caso, los clientes deben seguir los pasos que se mencionan anteriormente para implementar de forma manual las actualizaciones de seguridad de Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos a los clientes que elijan una de las siguientes acciones:
Opción 1: implementar manualmente los parches de Microsoft en las instancias en ejecución de empaquetador y validador de WAM siguiendo los pasos de Microsoft en https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Esta página ofrece instrucciones adicionales y descargas para Windows Server.
Opción 2: reconstruir nuevas instancias EC2 de empaquetador y validador de WAM a partir de AMI actualizadas para empaquetador y validador de WAM que estarán disponibles al final del día (04/01/2018).