Usted está viendo una versión anterior de este boletín de seguridad. Para la versión más actual, visite: “Problemas de denegación de servicio de TCP SACK en kernel de Linux”.

17 de junio de 2019, 10:00 a. m. PDT

Identificadores de CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479

AWS está al tanto de tres problemas recientemente revelados que afectan el subsistema de procesamiento TCP del kernel de Linux. Específicamente, un cliente o servidor TCP malicioso puede transmitir una serie de paquetes especialmente diseñados que pueden hacer que el kernel de Linux de cualquier sistema de conexión específico entre en conflicto y se reinicie.

Los sistemas y la infraestructura subyacentes de AWS están protegidos contra estos problemas. No se requiere ninguna acción por parte del cliente para mitigar las posibles preocupaciones de denegación de servicio (DoS) relacionadas con estos problemas, a excepción de los servicios de AWS enumerados a continuación.

Amazon Elastic Compute Cloud (EC2)

Las instancias de cliente EC2 basadas en Linux que inician o reciben directamente conexiones TCP hacia o desde terceros no confiables, como ser Internet, requieren parches del sistema operativo para mitigar cualquier posible preocupación de DoS respecto de estos asuntos. NOTA: Los clientes que utilizan Amazon Elastic Load Balancing (ELB) deben revisar “Elastic Load Balancing (ELB)” a continuación para obtener orientación adicional.

AMI de Amazon Linux y AMI de Amazon Linux 2

Las AMI de Amazon Linux actualizadas estarán disponibles en breve. Actualizaremos este boletín cuando estén disponibles para su uso.

Los kernels actualizados para la AMI de Amazon Linux y Amazon Linux 2 se encuentran inmediatamente disponibles en los repositorios de Amazon Linux. Los clientes con instancias EC2 existentes que ejecutan Amazon Linux deben ejecutar el siguiente comando dentro de cada instancia EC2 que ejecute Amazon Linux para asegurarse de recibir el paquete actualizado:

sudo yum update kernel

Como sucede con cada actualización del kernel de Linux, después de que la actualización yum se haya completado, es necesario reiniciar para que las actualizaciones entren en funcionamiento.

Habrá más información disponible en breve en el Centro de seguridad de Amazon Linux.

Elastic Load Balancing (ELB)

Los balanceadores de carga de red (NLB) no filtran el tráfico. Las instancias EC2 basadas en Linux que utilizan NLB requieren parches del sistema operativo para mitigar cualquier preocupación respecto de DoS relacionada con estos asuntos. Los kernels actualizados para Amazon Linux ya están disponibles ahora, y las instrucciones para actualizar las instancias EC2 que actualmente ejecutan Amazon Linux se proporcionan más arriba. Los clientes que no utilizan Amazon Linux deben comunicarse con el proveedor del sistema operativo para obtener las actualizaciones o instrucciones necesarias para mitigar cualquier posible preocupación de DoS.

Las instancias EC2 basadas en Linux que utilizan balanceadores de carga clásicos y balanceadores de carga de aplicaciones de Elastic Load Balancing (ELB) no requieren ninguna acción por parte del cliente. ELB Classic y ALB filtrarán el tráfico entrante para mitigar cualquier posible preocupación de DoS respecto de estos asuntos.

Amazon WorkSpaces (Linux)

Todos los WorkSpaces de Amazon Linux se lanzarán con los kernels actualizados. Los kernels actualizados para Amazon Linux 2 ya se han instalado para los WorkSpaces de Amazon Linux existentes.

Como sucede con cada actualización del kernel de Linux, es necesario reiniciar para que las actualizaciones entren en funcionamiento. Recomendamos que los clientes reinicien manualmente lo antes posible. De lo contrario, los WorkSpaces de Amazon Linux se reiniciarán automáticamente entre las 12:00 a.m. y las 4:00 a.m., hora local, el 18 de junio.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Todos los clústeres de Amazon EKS que se encuentran en ejecución actualmente están protegidos contra estos problemas. Amazon EKS publicó las Imágenes de Amazon Machine (AMI) optimizadas para EKS con el kernel parcheado de Amazon Linux 2 el 17 de junio de 2019. Puede encontrar más información sobre la AMI optimizada para EKS en https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.

Recomendamos que los clientes de EKS reemplacen todos los nodos de trabajo para utilizar la última versión de la AMI optimizada para EKS. Las instrucciones para actualizar los nodos de trabajo están disponibles en https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.

AWS Elastic Beanstalk

Las plataformas actualizadas de AWS Elastic Beanstalk basadas en Linux estarán disponibles el 17 de junio de 2019. Este boletín se actualizará cuando las nuevas versiones de la plataforma estén disponibles. Los clientes que utilicen las actualizaciones administradas de la plataforma recibirán una actualización automática a la última versión de la plataforma en la ventana de mantenimiento seleccionada sin necesidad de realizar ninguna otra acción. Alternativamente, los clientes que utilizan las actualizaciones administradas de la plataforma pueden aplicar de forma independiente las actualizaciones disponibles antes que la ventana de mantenimiento seleccionada si van a la página de configuración de las actualizaciones administradas y hacen clic en el botón “Aplicar ahora”.

Los clientes que no hayan habilitado las actualizaciones administradas de la plataforma deben actualizar la versión de plataforma de su entorno con las instrucciones anteriores. Puede encontrar más información sobre las actualizaciones administradas de la plataforma en https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html

Amazon ElastiCache

Amazon ElastiCache lanza clústeres de instancias de Amazon EC2 que ejecutan Amazon Linux en VPC de clientes. Estos no aceptan conexiones TCP no confiables de manera predeterminada y no se ven afectados por estos problemas.

Todo cliente que haya realizado cambios en la configuración predeterminada de VPC de ElastiCache debe asegurarse de que sus grupos de seguridad de ElastiCache sigan las prácticas de seguridad recomendadas por AWS, configurándolos para bloquear el tráfico de red de clientes no confiables y así mitigar cualquier posible preocupación de DoS. Puede encontrar más información sobre la configuración de VPC de ElastiCache en https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.

Los clientes que tienen sus clústeres de ElastiCache ejecutándose fuera de sus VPC y han realizado cambios en la configuración predeterminada, deben configurar el acceso confiable mediante los grupos de seguridad de ElastiCache. Para obtener más información sobre cómo crear grupos de seguridad de ElastiCache, consulte https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html

El equipo de ElastiCache lanzará un nuevo parche en breve, el cual abordará estos problemas. Una vez que este parche esté disponible, notificaremos a los clientes cuando esté listo para ser aplicado. Luego, los clientes pueden elegir actualizar sus clústeres con la característica de actualización de autoservicio de ElastiCache. Puede encontrar más información sobre las actualizaciones de parches de autoservicio de ElastiCache en https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.

Amazon EMR

Amazon EMR lanza clústeres de instancias de Amazon EC2 que ejecutan Amazon Linux en las VPC de los clientes en su nombre. Estos clústeres no aceptan conexiones TCP no confiables de manera predeterminada y, por lo tanto, no se ven afectados por estos problemas.

Todo cliente que haya realizado cambios en la configuración predeterminada de VPC de EMR debe asegurarse de que sus grupos de seguridad de EMR sigan las prácticas de seguridad recomendadas por AWS, bloqueando así el tráfico de red de clientes no confiables para mitigar cualquier posible preocupación de DoS. Consulte https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html para obtener más información sobre los grupos de seguridad de EMR.

Los clientes que eligen no configurar grupos de seguridad de EMR de acuerdo con las prácticas de seguridad recomendadas por AWS (o que requieren parches del sistema operativo para cumplir con cualquier política de seguridad adicional), pueden seguir las instrucciones a continuación para actualizar los clústeres de EMR nuevos o existentes y así mitigar estos problemas. NOTA: Para estas actualizaciones, será necesario reiniciar las instancias del clúster y pueden afectar las aplicaciones en ejecución. Los clientes no deben reiniciar sus clústeres hasta que lo consideren necesario:

Para nuevos clústeres, utilice una acción de arranque de EMR para actualizar el kernel de Linux y reiniciar cada instancia. Puede encontrar más información sobre las acciones de arranque de EMR en https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html

Para los clústeres existentes, actualice el kernel de Linux en cada instancia dentro de un clúster y reinícielos de forma continua.