Está viendo una versión anterior del boletín de seguridad. Para obtener la versión más reciente, consulte “Divulgación de la investigación de ejecución especulativa del procesador”.
Asunto: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Última actualización: 11/01/2018, 11:30 h PST
Esta es una actualización del problema.
Ya está disponible el lanzamiento de un segundo kernel para Amazon Linux, que aborda los errores KPTI y mejora las mitigaciones para CVE-2017-5754. Los clientes deben actualizar el kernel o la AMI de Amazon Linux a su última versión para mitigar de forma efectiva los problemas de proceso a proceso de CVE-2017-5754 dentro de sus instancias. Consulte la información de “AMI de Amazon Linux” que se proporciona más adelante.
Consulte la información de “Asesoramiento sobre instancias PV” más adelante sobre las instancias paravirtualizadas (PV).
Amazon EC2
Todas las instancias de la flota de Amazon EC2 están protegidas contra cualquier problema conocido de instancia a instancia de CVE mencionado anteriormente. Los problemas de instancia a instancia suponen que una instancia vecina que no es de confianza puede leer la memoria de otra instancia o del hipervisor de AWS. Se abordó este problema para los hipervisores de AWS, y ninguna instancia puede leer la memoria de otra instancia, ni tampoco la memoria del hipervisor de AWS. No hemos observado un impacto significativo en el rendimiento de la gran mayoría de las cargas de trabajo de EC2.
Acciones recomendadas para el cliente respecto a AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce y Amazon Lightsail
Si bien todas las instancias de los clientes están protegidas como se describió anteriormente, recomendamos a los clientes que implementen parches en sus sistemas operativos de instancia para aislar el software que se ejecuta dentro de esta instancia y mitigar los problemas de proceso a proceso de las CVE-2017-5754. Para más información, consulte la guía específica del proveedor relativa a la disponibilidad e implementación de parches.
Guía específica del proveedor:
- Amazon Linux - Más información a continuación.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Para los sistemas operativos no mencionados, los clientes deben consultar con su proveedor de sistema operativo o AMI para obtener actualizaciones e instrucciones.
Asesoramiento sobre instancias PV
Después de una investigación continua y un análisis detallado sobre los parches del sistema operativo disponibles para este problema, hemos determinado que las protecciones de los sistemas operativos no son suficientes para tratar los problemas de proceso a proceso dentro de las instancias paravirtualizadas (PV). Aunque los hipervisores de AWS protegen las instancias PV de cualquier problema de instancia a instancia, tal y como se indicó anteriormente, recomendamos a los clientes que estén preocupados por el aislamiento del proceso dentro de sus instancias PV (por ejemplo, procesar datos, ejecutar códigos y alojar usuarios que no son de confianza) que migren a tipos de instancia HVM para obtener beneficios de seguridad a largo plazo.
Para obtener más información sobre las diferencias entre PV y HVM (así como la documentación de la ruta de actualización de una instancia), consulte la siguiente página web:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Si necesita ayuda con las rutas de actualización para cualquier instancia PV, haga clic en Soporte.
Actualizaciones de otros servicios de AWS
Para los siguientes servicios fue necesario implementar parches a las instancias EC2 administradas en nombre de los clientes, finalizar todo el trabajo y no fue necesario que el cliente realizara ninguna acción:
- Fargate
- Lambda
A menos que se indique lo contrario a continuación, no es necesario que el cliente realice ninguna acción para los demás servicios de AWS.
AMI de Amazon Linux (ID del boletín: ALAS-2018-939)
Se encuentra disponible un kernel actualizado para Amazon Linux dentro de los repositorios de Amazon Linux. Las instancias EC2 lanzadas con la configuración predeterminada de Amazon Linux a partir del 8 de enero de 2018, o después de esa fecha, incluirán automáticamente el paquete actualizado, el cual aborda los errores KPTI y mejora las mitigaciones para CVE-2017-5754.
NOTA: Los clientes deben actualizar el kernel o la AMI de Amazon Linux a su última versión para mitigar de forma efectiva CVE-2017-5754 dentro de sus instancias. Continuaremos proporcionando mejoras y AMI actualizadas de Amazon Linux, e incorporaremos contribuciones de código abierto de la comunidad de Linux que aborden este problema a medida que estén disponibles.
Los clientes que ya cuenten con instancias de AMI de Amazon Linux deben ejecutar el siguiente comando para asegurarse de que recibirán el paquete actualizado:
sudo yum update kernel
Como en el procedimiento estándar de cada actualización del kernel de Linux, después de que se haya completado la actualización yum, es necesario reiniciarlo para que las actualizaciones entren en funcionamiento.
Para más información sobre este boletín, consulte el Centro de seguridad de la AMI de Amazon Linux.
En el caso de Amazon Linux 2, siga las instrucciones de Amazon Linux descritas anteriormente.
EC2 Windows
Hemos actualizado las AMI de AWS Windows. Ahora, están disponibles para que los clientes las usen, y las AMI de AWS Windows tienen el parche necesario instalado y las claves de registro habilitadas.
Microsoft ha proporcionado parches de Windows para Server 2008R2, 2012R2 y 2016. Los parches están disponibles mediante el servicio integrado de Windows Update para Server 2016. Estamos a la espera de información de Microsoft sobre la disponibilidad de parches para Server 2003, 2008SP2 y 2012RTM.
Los clientes de AWS que ejecutan instancias de Windows en EC2 y que tienen habilitadas las “actualizaciones automáticas”, deben ejecutar actualizaciones automáticas para descargar e instalar la actualización necesaria para Windows cuando esté disponible.
Tenga en cuenta que los parches para Server 2008R2 y 2012R2 no se encuentran disponibles a través de Windows Update en la actualidad, sino que se deben descargar de forma manual. Microsoft informó anteriormente que estos parches estarían disponibles a partir del martes 9 de enero. Sin embargo, continuamos esperando información sobre su disponibilidad.
Los clientes de AWS que ejecutan instancias de Windows en EC2 y que no tienen habilitadas las “actualizaciones automáticas”, deben instalar las actualizaciones necesarias de forma manual cuando se encuentren disponibles, de acuerdo con las instrucciones que figuran en el siguiente enlace: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Tenga en cuenta que para Windows Server, Microsoft requiere pasos adicionales a fin de habilitar las características de protección de la actualización relativas a este problema. Dichos pasos se describen aquí: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI optimizada para ECS
Hemos lanzado la versión 2017.09.f de la AMI optimizada para Amazon ECS, la cual incorpora todas las protecciones de Amazon Linux para este problema, incluida la segunda actualización del kernel de Amazon Linux mencionada anteriormente. Recomendamos a todos los clientes de Amazon ECS que actualicen el servicio a esta última versión la cual está disponible en AWS Marketplace. Continuaremos incorporando mejoras de Amazon Linux a medida que estén disponibles.
Los clientes que decidan actualizar las instancias existentes de la AMI optimizada para ECS deben ejecutar el siguiente comando a fin de asegurarse de que recibirán el paquete actualizado:
sudo yum update kernel
Como en cada actualización del kernel de Linux, después de que la actualización yum se haya completado, es necesario reiniciar para que las actualizaciones entren en funcionamiento.
Para los clientes de Linux que no utilicen la AMI optimizada para ECS, se recomienda que consulten con el proveedor de cualquier sistema operativo, software o AMI alternativos o de terceros a fin de obtener las actualizaciones e instrucciones necesarias. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de la AMI de Amazon Linux.
Estamos actualizando la AMI de Windows optimizada para Amazon ECS y actualizaremos este boletín cuando esta esté disponible. Microsoft ha proporcionado parches de Windows para Server 2016. Para obtener más información acerca de cómo implementar parches en las instancias que están en ejecución, consulte https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Hemos actualizado todas las plataformas basadas en Linux para incorporar todas las protecciones de Amazon Linux y, así, tratar este problema. Para obtener más información sobre las versiones específicas de las plataformas, consulte las notas de la versión. Recomendamos a los clientes de Elastic Beanstalk que actualicen sus entornos a la última versión disponible de la plataforma. Los entornos que utilicen actualizaciones administradas se actualizarán automáticamente durante el periodo de mantenimiento configurado.
El equipo de Elastic Beanstalk sigue trabajando en las actualizaciones de la plataforma de Windows, las cuales estarán disponibles dentro de las próximas 12 horas. Se recomienda a los clientes de Elastic Beanstalk que usan plataformas basadas en Windows que instalen manualmente las actualizaciones de seguridad disponibles de acuerdo con las instrucciones que figuran en la sección de arriba “EC2 Windows” de este boletín.
EMR
Amazon EMR lanza clústeres de instancias de Amazon EC2 que ejecutan Amazon Linux en nombre de los clientes en la cuenta del cliente. Los clientes que estén preocupados por el aislamiento del proceso dentro de las instancias de los clústeres de Amazon EMR deben actualizar al último kernel de Amazon Linux como se recomienda anteriormente. Estamos en el proceso de incorporar el último kernel de Amazon Linux en una nueva versión menor en las ramificaciones 5.11.x y 4.9.x. Los clientes podrán crear nuevos clústeres de Amazon EMR con estas versiones. Actualizaremos este boletín a medida que estas versiones se encuentren disponibles.
Para obtener las versiones actuales de Amazon EMR y cualquier instancia asociada en ejecución que el cliente pudiera tener, recomendamos a los clientes actualizar al último kernel de Amazon Linux como se menciona anteriormente. En el caso de nuevos clústeres, los clientes pueden utilizar una acción de arranque para actualizar el kernel de Linux y reiniciar cada instancia. En el caso de los clústeres en ejecución, los clientes pueden facilitar la actualización del kernel de Linux y reiniciar cada instancia en su clúster de forma continua. Tenga en cuenta que reiniciar ciertos procesos puede afectar a las aplicaciones en ejecución dentro del clúster.
RDS
Las instancias de la base de datos de cliente administradas por RDS solo ejecutan un motor de base de datos para un único cliente, y no se producen otros procesos a los que el cliente puede acceder ni ejecutar códigos en la instancia subyacente. Debido a que AWS ha finalizado la protección de toda la infraestructura subyacente a RDS, los problemas de proceso a kernel o de proceso a proceso no representan un riesgo para los clientes. La mayoría de los motores de bases de datos compatibles con RDS hasta el momento no han informado problemas conocidos dentro del proceso. A continuación, se mencionan detalles adicionales y específicos del motor de base de datos y, a menos que se especifique lo contrario, no se requiere ninguna acción por parte del cliente. Actualizaremos este boletín cuando dispongamos de información adicional.
En cuanto a RDS para las instancias de base de datos de SQL Server, lanzaremos parches para SO y motores de base de datos una vez que Microsoft los lance, para que los clientes puedan realizar las actualizaciones en el momento que lo deseen. Actualizaremos el presente boletín cuando se hayan completado. Mientras tanto, los clientes que hayan habilitado CLR (deshabilitado de forma predeterminada) deben revisar la guía de Microsoft relativa a la deshabilitación de la extensión CLR en https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
Para RDS PostgreSQL y Aurora PostgreSQL, no se requiere actualmente ninguna acción por parte del cliente para las instancias de base de datos que se ejecuten en la configuración predeterminada. Una vez que las extensiones plv8 estén disponibles, proporcionaremos los parches adecuados para los usuarios de dichas extensiones. Mientras tanto, los clientes que hayan habilitado las extensiones plv8 (deshabilitadas de forma predeterminada) deben considerar deshabilitarlas y revisar la guía de V8 en https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Actualmente, no se requiere ninguna acción por parte del cliente para las instancias de base de datos de RDS for MariaDB, RDS for MySQL, Aurora MySQL y RDS for Oracle.
VMware Cloud on AWS
Por VMware, “La solución, tal y como se documenta en VMSA-2018-0002, está presente en VMware Cloud on AWS desde principios de diciembre de 2017”.
Para obtener más información, consulte el Blog de seguridad y conformidad de VMware y para consultar el estado actualizado, visite https://status.vmware-services.io.
WorkSpaces
Durante el próximo fin de semana, AWS aplicará las actualizaciones de seguridad de Microsoft a la mayoría de los WorkSpaces de AWS. Los clientes deben esperar que se produzca el reinicio de sus WorkSpaces durante este periodo.
Los clientes que utilicen la característica Bring Your Own License (BYOL) y los que hayan cambiado la configuración de actualización predeterminada en sus WorkSpaces deben implementar de forma manual las actualizaciones de seguridad de Microsoft.
Siga las instrucciones que ofrece la nota oficial sobre seguridad de Microsoft en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. La nota oficial sobre seguridad incluye enlaces a artículos de base de conocimientos para Windows Server y sistemas operativos del cliente que proporcionan información adicional.
Próximamente estarán disponibles los paquetes de WorkSpaces con las actualizaciones de seguridad. Los clientes que hayan creado paquetes personalizados deben actualizarlos para poder incorporar ellos mismos las actualizaciones de seguridad. Cualquier WorkSpaces nuevo que se lance mediante paquetes que no cuenten con las actualizaciones, recibirá parches tan pronto sea posible después del lanzamiento, a menos que los clientes hayan modificado la configuración predeterminada de actualización en sus WorkSpaces. En este último caso, los clientes deben seguir los pasos que se mencionan anteriormente para implementar de forma manual las actualizaciones de seguridad de Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos a los clientes que elijan una de las siguientes acciones:
Opción 1: implementar manualmente los parches de Microsoft en las instancias en ejecución de empaquetador y validador de WAM siguiendo los pasos de Microsoft en https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Esta página ofrece instrucciones adicionales y descargas para Windows Server.
Opción 2: reconstruir nuevas instancias EC2 de empaquetador y validador de WAM a partir de AMI actualizadas para empaquetador y validador de WAM que estarán disponibles al final del día (04/01/2018).