Vous consultez une version précédente du présent bulletin de sécurité. Afin d'obtenir la version la plus récente, veuillez consulter « Divulgation de recherche sur l'exécution spéculative du processeur ».
Concerne : CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Mise à jour au : 05/01/2018 21:00 PST (heure du Pacifique)
Il s'agit d'une mise à jour concernant ce problème.
Amazon EC2
Toutes les instances de la flotte Amazon EC2 sont protégées contre tout vecteur de menace connu des CVE précédemment mentionnés. Les instances des clients sont protégées contre ces menaces provenant d'autres instances. Nous n'avons pas remarqué d'incidence significative sur les performances de la grande majorité des charges de travail EC2.
Actions recommandées de la part du client pour AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce et Amazon Lightsail
Bien que toutes les instances des clients soient protégées, nous recommandons aux clients de corriger les systèmes d'exploitation de leurs instances. Cette correction renforce les protections garanties par ces systèmes d'exploitation pour isoler les logiciels s'exécutant au sein de la même instance. Afin d'obtenir davantage de détails, reportez-vous aux directives générales spécifiques aux fournisseurs concernant la disponibilité et le déploiement des correctifs.
Directives générales spécifiques aux fournisseurs :
- Amazon Linux – Plus de détails ci-dessous.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- Red Hat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Pour les systèmes d'exploitation non répertoriés, les clients doivent consulter le fournisseur de leur AMI ou de leur système d'exploitation afin d'obtenir les mises à jour et les instructions.
Mises à jour d'autres services AWS
AMI Amazon Linux (ID de bulletin : ALAS-2018-939)
Un noyau mis à jour pour Amazon Linux est disponible dans les référentiels d'Amazon Linux. Les instances EC2 lancées avec la configuration d'Amazon Linux par défaut à compter du 3 janvier 2018 à 22:45 (GMT) incluent automatiquement le package mis à jour. Les clients disposant d'instances AMI Amazon Linux existantes doivent exécuter la commande suivante afin de recevoir le package mis à jour :
sudo yum update kernel
Lorsque la mise à jour yum est terminée, un redémarrage est nécessaire afin que les mises à jour entrent en vigueur.
Vous trouverez davantage d'informations concernant ce bulletin dans le centre de sécurité de l'AMI Amazon Linux.
EC2 Windows
Nous mettons à jour l'AMI Windows Server par défaut et nous mettrons à jour ce bulletin lorsque la mise à jour sera disponible.
AMI optimisée pour ECS
Nous avons publié la version 2017.09.e de l'AMI optimisée pour Amazon ECS qui intègre toutes les protections Amazon Linux pour ce problème. Nous conseillons à tous les clients Amazon ECS d'exécuter la mise à niveau vers cette dernière version, qui est disponible sur AWS Marketplace. Les clients qui choisissent de mettre à jour les instances existantes sur place doivent exécuter la commande suivante sur chaque instance de conteneur :
sudo yum update kernel
Afin de terminer la mise à jour, un redémarrage de l'instance de conteneur est requis.
Nous conseillons aux clients Linux qui n'utilisent pas l'AMI optimisée pour ECS de consulter le fournisseur de tout système d'exploitation, logiciel ou AMI autre/tiers pour ce qui concerne les mises à jour et les instructions, si nécessaire. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité de l'AMI Amazon Linux.
Une AMI optimisée pour ECS et EC2 Windows Microsoft sera lancée dès que les correctifs Microsoft seront disponibles.
Elastic Beanstalk
Nous publierons de nouvelles versions de plateforme qui incluent la mise à jour de noyau afin de régler ce problème dans les 48 heures. Pour les environnements Linux, nous vous recommandons d'activer l'option « Mises à jour de plateforme gérées » afin que les mises à jour s'exécutent automatiquement dans votre fenêtre de maintenance sélectionnée lorsque celles-ci sont disponibles. Nous publierons les instructions relatives aux environnements Windows lorsque la mise à jour sera disponible.
AWS Fargate
Toute infrastructure exécutant des tâches Fargate a été corrigée selon les indications ci-dessus et aucune action de la part du client n'est nécessaire.
Amazon FreeRTOS
Aucune mise à jour n'est requise pour Amazon FreeRTOS et ses processeurs ARM pris en charge.
AWS Lambda
Toutes les instances exécutant des fonctions Lambda ont été corrigées selon les indications ci-dessus et aucune action de la part du client n'est nécessaire.
RDS
Les instances de base de données client gérées par RDS sont dédiées à l'exécution d'un seul moteur de base de données pour un seul client, sans aucun autre processus accessible aux clients et aucune possibilité pour les clients d'exécuter le code sur l'instance sous-jacente. Étant donné qu'AWS a terminé la protection de toute l'infrastructure sous-jacente de RDS, les anomalies entre processus et noyau ou entre processus inhérentes à ce problème ne présentent aucun risque pour les clients. À l'heure actuelle, aucune anomalie entre processus connue n'a été constatée pour la plupart des supports RDS des moteurs de base de données. D'autres détails spécifiques à un moteur de base de données figurent ci-dessous et, sauf indication contraire, aucune action de la part du client n'est requise. Nous mettrons à jour ce bulletin dès que nous disposerons de davantage d'informations.
Aucune action de la part du client n'est actuellement requise pour les instances de base de données RDS for MariaDB, RDS for MySQL, Aurora MySQL et RDS for Oracle.
Pour RDS PostgreSQL et Aurora PostgreSQL, aucune action de la part du client n'est actuellement requise pour les instances de base de données qui s'exécutent dans la configuration par défaut. Nous fournirons les correctifs appropriés pour les utilisateurs des extensions plv8 dès qu'ils seront disponibles. En attendant, les clients qui ont activé les extensions plv8 (désactivées par défaut) doivent envisager de les désactiver et consulter les directives de V8 à l'adresse https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Pour les instances de base de données RDS for SQL Server, nous publierons les correctifs des moteurs de base de données et de système d'exploitation à mesure que Microsoft les mettra à disposition, ce qui permettra aux clients d'effectuer la mise à niveau lorsqu'ils le désirent. Nous mettrons à jour ce bulletin à la première occurrence. En attendant, les clients qui ont activé l'extension CLR (désactivée par défaut) doivent consulter les directives de Microsoft concernant la désactivation de l'extension CLR à l'adresse https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Afin d'obtenir davantage de détails, veuillez vous reporter à l'avis de sécurité VMware à l'adresse : https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
AWS appliquera les mises à jour de sécurité publiées par Microsoft pour la plupart des instances WorkSpaces AWS le week-end prochain. Les clients doivent s'attendre au redémarrage de leurs instances WorkSpaces au cours de cette période.
Les clients qui utilisent la fonctionnalité BYOL (Réutilisez vos licences) et ceux qui ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces doivent appliquer manuellement les mises à jour de sécurité fournies par Microsoft.
Veuillez suivre les instructions fournies par l'avis de sécurité Microsoft à l'adresse https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. L'avis de sécurité comprend des liens vers des articles de base de connaissances pour les systèmes d'exploitation Windows Client et Server qui contiennent d'autres informations spécifiques.
Des offres WorkSpaces mises à jour seront bientôt disponibles avec les mises à jour de sécurité. Les clients qui ont créé des offres personnalisées doivent les mettre à jour afin qu'elles incluent les mises à niveau de sécurité proprement dites. Toute nouvelle instance WorkSpaces lancée à partir d'offres qui ne comprennent pas les mises à jour recevra des correctifs rapidement après le lancement, sauf si les clients ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces, auquel cas ils doivent suivre les étapes ci-dessus pour appliquer manuellement les mises à jour de sécurité fournies par Microsoft.
WorkSpaces Application Manager (WAM)
Nous recommandons aux clients de choisir l'une des procédures suivantes :
Option 1 : appliquer manuellement les correctifs Microsoft sur les instances en cours d'exécution de WAM Packager et Validator en suivant les étapes fournies par Microsoft à l'adresse https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Cette page comprend des instructions complémentaires et des téléchargements pour Windows Server.
Option 2 : recréer de nouvelles instances EC2 de WAM Packager et Validator à partir d'AMI mises à jour pour WAM Packager et Validator, qui seront disponibles à la fin de la journée (04/01/2018).