Última actualización: 18 de junio de 2019, 11:45 h PDT
Identificadores de CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Esta es una actualización para el problema.
Amazon Elastic Container Service (ECS)
El 17 y el 18 de junio de 2019, Amazon ECS publicó las versiones actualizadas de Imágenes de Amazon Machine (AMI) optimizadas para ECS con el kernel de Amazon Linux y Amazon Linux 2 reparado con parches. Puede encontrar más información sobre la AMI optimizada para ECS y sobre cómo obtener la última versión en https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
Se recomienda que los clientes de ECS actualicen sus instancias de contenedor de EC2 para utilizar la última versión de la AMI optimizada para ECS.
Amazon GameLift
Ya está disponible una AMI actualizada para las instancias de Amazon GameLift basadas en Linux en todas las regiones donde se ofrece Amazon GameLift. Se recomienda que los clientes que utilizan instancias de Amazon GameLift basadas en Linux creen nuevas flotas para recoger la AMI actualizada. Puede obtener más información sobre cómo crear flotas en https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Se encuentran disponibles las versiones actualizadas de la plataforma basada en Linux de AWS Elastic Beanstalk. Los clientes que utilicen las actualizaciones de plataforma administradas se actualizarán automáticamente a la última versión de la plataforma durante el periodo de mantenimiento seleccionado sin necesidad de realizar ninguna otra acción. De manera alternativa, los clientes que utilicen las actualizaciones de plataforma administradas, pueden aplicar las actualizaciones disponibles de forma independiente antes del periodo de mantenimiento seleccionado si, desde la página de configuración Managed Updates (Actualizaciones administradas), hacen clic en el botón “Apply Now” (Aplicar ahora).
Los clientes que hayan habilitado las actualizaciones de plataforma administradas deben actualizar la versión de la plataforma para su entorno siguiendo las instrucciones que se mencionaron anteriormente. Puede obtener más información sobre las actualizaciones de plataforma administradas en https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux y Amazon Linux 2
Los kernels de Linux actualizados para Amazon Linux están disponibles en los repositorios de Amazon Linux. También están disponibles las AMI de Amazon Linux actualizadas. Los clientes que ya cuenten con instancias EC2 que ejecuten Amazon Linux deben ejecutar el siguiente comando en cada una de dichas instancias para asegurarse de que reciban el paquete actualizado:
sudo yum update kernel
Como en el procedimiento estándar de cada actualización del kernel de Linux, después de que se haya completado la actualización yum, es necesario reiniciarlo para que las actualizaciones entren en funcionamiento.
Los clientes que no utilicen Amazon Linux deben comunicarse con el proveedor del sistema operativo para obtener las actualizaciones o las instrucciones necesarias para mitigar cualquier posible ataque de denegación de servicio (DoS, Denial of Service) relacionado con estos problemas. Puede obtener más información en el Centro de seguridad de Amazon Linux.
Amazon Elastic Compute Cloud (EC2)
Las instancias de cliente EC2 basadas en Linux que se inicien o reciban conexiones TCP de manera directa hacia o desde terceros no confiables, como Internet, requieren parches del sistema operativo para mitigar cualquier posible ataque de DoS relacionado con estos problemas. NOTA: Los clientes que utilicen Amazon Elastic Load Balancing (ELB) deben leer la sección “Elastic Load Balancing (ELB)” a continuación para obtener orientación adicional.
Elastic Load Balancing (ELB)
Los balanceadores de carga de red (NLB) de TCP no filtran el tráfico, a menos que estén configurados para terminar las sesiones TLS. Los NLB que estén configurados para terminar las sesiones TLS no requieren que el cliente realice acciones adicionales para mitigar este problema.
Las instancias EC2 basadas en Linux que utilicen los NLB de TCP, los cuales no estén configurados para terminar sesiones TLS, requieren parches del sistema operativo para mitigar cualquier posible ataque de DoS relacionado con estos problemas. Ya se encuentran disponibles los kernels actualizados para Amazon Linux, y las instrucciones para actualizar las instancias EC2 que actualmente ejecutan Amazon Linux se proporcionan arriba. Los clientes que no utilicen Amazon Linux deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones o las instrucciones necesarias para mitigar cualquier posible ataque de DoS.
Las instancias EC2 basadas en Linux que utilicen balanceadores de carga clásicos, balanceadores de carga de aplicaciones (ALB) o balanceadores de carga de red de Elastic Load Balancing (ELB) configurados para terminar sesiones TLS (NLB de TLS) no requieren ninguna acción por parte del cliente. El ELB clásico y el ALB filtrarán el tráfico entrante para mitigar cualquier posible ataque de DoS relacionado con estos problemas.
Amazon WorkSpaces (Linux)
Todos los nuevos WorkSpaces de Amazon Linux se lanzarán con los kernels actualizados. Ya se han instalado los kernels actualizados de Amazon Linux 2 para los WorkSpaces de Amazon Linux existentes.
Como en el procedimiento estándar de cada actualización del kernel de Linux, es necesario el reinicio para que las actualizaciones entren en funcionamiento. Se recomienda que los clientes lleven a cabo el reinicio de forma manual tan pronto como sea posible. De lo contrario, los WorkSpaces de Amazon Linux se reiniciarán automáticamente entre las 00:00 h y las 4:00 h, hora local, del 18 de junio.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Todos los clústeres de Amazon EKS que se encuentran actualmente en ejecución están protegidos contra estos problemas. El 17 de junio de 2019, Amazon EKS publicó las versiones actualizadas de las Imágenes de Amazon Machine (AMI) optimizadas para EKS con el kernel de Amazon Linux 2 reparado con parches. Puede obtener más información sobre la AMI optimizada para EKS en https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Se recomienda que los clientes de EKS reemplacen todos los nodos de trabajo para usar la última versión de la AMI optimizada para EKS. Las instrucciones para actualizar los nodos de trabajo están disponibles en https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Amazon ElastiCache
Amazon ElastiCache lanza clústeres de instancias de Amazon EC2 que ejecutan Amazon Linux en las VPC de los clientes. De forma predeterminada, estos clústeres no aceptan conexiones TCP no confiables y no se ven afectados por estos problemas.
Todos los clientes que hayan realizado cambios en la configuración predeterminada de la VPC de ElastiCache deben asegurarse de que los grupos de seguridad de ElastiCache sigan las prácticas de seguridad recomendadas por AWS, mediante su configuración para el bloqueo del tráfico de red de clientes no confiables para mitigar cualquier posible DoS. Puede obtener más información sobre la configuración de la VPC de ElastiCache en https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Los clientes cuyos clústeres de ElastiCache se ejecuten fuera de la VPC y que hayan realizado cambios en la configuración predeterminada deben configurar el acceso de confianza con los grupos de seguridad de ElastiCache. Para obtener más información sobre cómo crear grupos de seguridad de ElastiCache, consulte https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
En breve, el equipo de ElastiCache lanzará un nuevo parche que aborda estos problemas. Una vez que el parche esté disponible, notificaremos a los clientes que está listo para aplicarse. Los clientes podrán elegir actualizar sus clústeres con la característica de actualización de tipo autoservicio de ElastiCache. Puede obtener más información sobre la actualización de tipo autoservicio de parches de ElastiCache en https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR lanza clústeres de instancias de Amazon EC2 que ejecutan Amazon Linux en las VPC de los clientes en su nombre. De forma predeterminada, estos clústeres no aceptan conexiones TCP no confiables, por lo que no se ven afectados por estos problemas.
Todos los clientes que hayan realizado cambios en la configuración predeterminada de la VPC de EMR deben asegurarse de que los grupos de seguridad de EMR sigan las prácticas de seguridad recomendadas por AWS. Esto se logra a través del bloqueo del tráfico de red de clientes no confiables para mitigar cualquier posible ataque de DoS. Consulte https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html para obtener más información sobre los grupos de seguridad de EMR.
Los clientes que elijan no configurar grupos de seguridad de EMR de acuerdo con las prácticas de seguridad recomendadas por AWS (o que requieran parches del sistema operativo para cumplir con cualquier política de seguridad adicional) pueden seguir las instrucciones que se indican a continuación para actualizar clústeres de EMR nuevos o existentes, y para mitigar estos problemas. NOTA: Estas actualizaciones requerirán reiniciar las instancias del clúster y pueden afectar las aplicaciones en ejecución. Los clientes no deben reiniciar sus clústeres hasta que lo consideren necesario:
Cuando se trate de clústeres nuevos, utilice una acción de arranque de EMR para actualizar el kernel de Linux y reinicie cada instancia. Puede obtener más información sobre las acciones de arranque de EMR en https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Si se trata de clústeres existentes, actualice el kernel de Linux en cada instancia dentro del clúster y reinícielas de forma continua.