Está viendo una versión anterior de este boletín de seguridad. Para obtener la versión más reciente, visite: “Divulgación de la investigación de ejecución especulativa del procesador”.

Asunto: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Última actualización: 07/01/2018, 11:30 h PST

Esta es una actualización para el problema.

Amazon EC2

Todas las instancias de la flota de Amazon EC2 están protegidas contra todos los vectores de amenazas conocidos de los CVE mencionadas anteriormente. Las instancias de los clientes están protegidas contra estas amenazas provenientes de otras instancias. No hemos observado un impacto significativo en el rendimiento de la gran mayoría de las cargas de trabajo de EC2.

Acciones recomendadas para el cliente respecto a AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce y Amazon Lightsail

Si bien todas las instancias de cliente están protegidas, recomendamos a los clientes que apliquen parches a los sistemas operativos de instancias. Esto reforzará las protecciones que ofrecen estos sistemas operativos para aislar el software que se ejecuta en esta instancia. Para más información, consulte la guía específica del proveedor relativa a la disponibilidad e implementación de parches.

Guía específica del proveedor:

Para los sistemas operativos no mencionados, los clientes deben consultar con su proveedor de sistema operativo o AMI para obtener actualizaciones e instrucciones.

Actualizaciones de otros servicios de AWS

AMI de Amazon Linux (ID del boletín:ALAS-2018-939)

Se encuentra disponible un kernel actualizado para Amazon Linux dentro de los repositorios de Amazon Linux. Las instancias EC2 lanzadas con la configuración predeterminada de Amazon Linux el 3 de enero de 2018, a las 22:45 h (GMT) o después de dicha fecha incluirán automáticamente el paquete actualizado. Los clientes que ya cuenten con instancias de AMI de Amazon Linux deben ejecutar el siguiente comando para asegurarse de que recibirán el paquete actualizado:

sudo yum update kernel

Una vez completada la actualización yum, es necesario reiniciar la instancia para que las actualizaciones surtan efecto.

Para más información sobre este boletín, consulte el Centro de seguridad de la AMI de Amazon Linux.

EC2 Windows

Hemos actualizado las AMI de AWS Windows. Ahora, están disponibles para que los clientes las usen, y las AMI de AWS Windows tienen el parche necesario instalado y las claves de registro habilitadas.

Microsoft ha proporcionado parches Windows para Server 2008R2, 2012R2 y 2016. Los parches están disponibles mediante el servicio integrado de Windows Update para Server 2016. Estamos a la espera de información de Microsoft sobre la disponibilidad de parches para Server 2003, 2008SP2 y 2012RTM.

Los clientes de AWS que ejecutan instancias de Windows en EC2 y que tienen habilitadas las “Actualizaciones automáticas”, deben ejecutar actualizaciones automáticas para descargar e instalar la actualización necesaria para Windows cuando esté disponible.

Tenga en cuenta que los parches para Server 2008R2 y 2012R2 no están actualmente disponibles mediante Windows Update, requieren descarga manual y Microsoft informa que estos parches estarán disponibles el martes 9 de enero.

Los clientes de AWS que ejecutan instancias de Windows en EC2 y no tienen habilitadas las “Actualizaciones automáticas”, deben instalar manualmente la actualización necesaria cuando esta se encuentre disponible; para ello deben seguir las instrucciones del siguiente enlace: http://windows.microsoft.com/en-us/windows7/install- Windows-actualizaciones.

Tenga en cuenta que para Windows Server, Microsoft requiere pasos adicionales a fin de habilitar las funciones de protección de la actualización relativa a este problema, los cuales se describen aquí: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI optimizada para ECS

Hemos lanzado la versión 2017.09.g de la AMI optimizada para Amazon ECS, que incorpora todas las protecciones de Amazon Linux para este problema. Recomendamos a todos los clientes de Amazon ECS que actualicen el servicio a esta última versión la cual está disponible en AWS Marketplace. Los clientes que eligen actualizar las instancias existentes en el lugar deben ejecutar el siguiente comando en cada instancia de contenedor:

sudo yum update kernel

Para completarse, la actualización requiere el reinicio de la instancia de contenedor

A los clientes de Linux que no utilizan la AMI optimizada para ECS, se les recomienda que consulten con el proveedor del sistema operativo, software o AMI alternativos o de terceros a fin de obtener las actualizaciones e instrucciones necesarias. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de la AMI de Amazon Linux.

Cuando se encuentren disponibles parches de Microsoft, se lanzará una AMI optimizada para ECS y EC2 de Microsoft Windows.

Elastic Beanstalk

Lanzaremos nuevas versiones de plataforma que incluyen la actualización de kernel para resolver este problema dentro de las 48 horas. Para entornos Linux, le recomendamos que habilite las “Actualizaciones administradas de plataforma” para que se actualicen automáticamente dentro de la ventana de mantenimiento seleccionada una vez que estén disponibles. Publicaremos instrucciones para entornos Windows una vez que la actualización esté disponible.  

AWS Fargate

Se implementaron parches, como se describió anteriormente, en toda la infraestructura que ejecuta tareas de Fargate y no se requiere acción alguna por parte del cliente.

Amazon FreeRTOS

No hay actualizaciones pendientes para Amazon FreeRTOS y los procesadores ARM compatibles.

AWS Lambda

Se implementaron parches, como se describió anteriormente, en todas las instancias que ejecutan funciones de Lambda y no se requiere acción alguna por parte del cliente.

RDS

Las instancias de la base de datos de cliente administradas por RDS solo ejecutan un motor de base de datos para un único cliente, y no se producen otros procesos a los que el cliente puede acceder ni ejecutar códigos en la instancia subyacente. Debido a que AWS ha finalizado la protección de toda la infraestructura subyacente a RDS, los problemas de proceso a kernel o de proceso a proceso no representan un riesgo para los clientes. La mayoría de los motores de bases de datos compatibles con RDS hasta el momento no han informado problemas conocidos dentro del proceso. A continuación, se mencionan detalles adicionales y específicos del motor de base de datos y, a menos que se especifique lo contrario, no se requiere ninguna acción por parte del cliente. Actualizaremos este boletín cuando dispongamos de información adicional.

Actualmente, no se requiere ninguna acción por parte del cliente para las instancias de base de datos de RDS for MariaDB, RDS for MySQL, Aurora MySQL y RDS for Oracle.

Para RDS PostgreSQL y Aurora PostgreSQL, no se requiere actualmente ninguna acción por parte del cliente para las instancias de base de datos que se ejecuten en la configuración predeterminada. Una vez que las extensiones plv8 estén disponibles, proporcionaremos los parches adecuados para los usuarios de dichas extensiones. Mientras tanto, los clientes que hayan habilitado las extensiones plv8 (deshabilitadas de forma predeterminada) deben considerar deshabilitarlas y revisar la guía de V8 en https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

En cuanto a RDS para las instancias de base de datos de SQL Server, lanzaremos parches para SO y motores de base de datos una vez que Microsoft los lance, para que los clientes puedan realizar las actualizaciones en el momento que lo deseen. Actualizaremos el presente boletín cuando se hayan completado. Mientras tanto, los clientes que hayan habilitado CLR (deshabilitado de forma predeterminada) deben revisar la guía de Microsoft relativa a la deshabilitación de la extensión CLR en https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

VMware Cloud on AWS

Para más información, consulte aquí la nota oficial sobre seguridad de VMware: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

Durante el próximo fin de semana, AWS aplicará las actualizaciones de seguridad de Microsoft a la mayoría de los WorkSpaces de AWS. Los clientes deben esperar que se produzca el reinicio de sus WorkSpaces durante este periodo.

Los clientes que utilicen la característica Bring Your Own License (BYOL) y los que hayan cambiado la configuración de actualización predeterminada en sus WorkSpaces deben implementar de forma manual las actualizaciones de seguridad de Microsoft.

Siga las instrucciones que ofrece la nota oficial sobre seguridad de Microsoft en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. La nota oficial sobre seguridad incluye enlaces a artículos de base de conocimientos para Windows Server y sistemas operativos del cliente que proporcionan información adicional.

Próximamente estarán disponibles los paquetes de WorkSpaces con las actualizaciones de seguridad. Los clientes que hayan creado paquetes personalizados deben actualizarlos para poder incorporar ellos mismos las actualizaciones de seguridad. Cualquier WorkSpaces nuevo que se lance mediante paquetes que no cuenten con las actualizaciones, recibirá parches tan pronto sea posible después del lanzamiento, a menos que los clientes hayan modificado la configuración predeterminada de actualización en sus WorkSpaces. En este último caso, los clientes deben seguir los pasos que se mencionan anteriormente para implementar de forma manual las actualizaciones de seguridad de Microsoft.

WorkSpaces Application Manager (WAM)

Recomendamos a los clientes que elijan una de las siguientes acciones:

Opción 1: implementar manualmente los parches de Microsoft en las instancias en ejecución de empaquetador y validador de WAM siguiendo los pasos de Microsoft en https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Esta página ofrece instrucciones adicionales y descargas para Windows Server.

Opción 2: reconstruir nuevas instancias EC2 de empaquetador y validador de WAM a partir de AMI actualizadas para empaquetador y validador de WAM que estarán disponibles al final del día (04/01/2018).