Vous consultez une version précédente du présent bulletin de sécurité. Afin d'obtenir la version la plus récente, veuillez consulter « Divulgation de recherche sur l'exécution spéculative du processeur ».

Concerne : CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Mise à jour au : 07/01/2018 11:30 PST (heure du Pacifique)

Il s'agit d'une mise à jour concernant ce problème.

Amazon EC2

Toutes les instances de la flotte Amazon EC2 sont protégées contre tout vecteur de menace connu des CVE précédemment mentionnés. Les instances des clients sont protégées contre ces menaces provenant d'autres instances. Nous n'avons pas remarqué d'incidence significative sur les performances de la grande majorité des charges de travail EC2.

Actions recommandées de la part du client pour AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce et Amazon Lightsail

Bien que toutes les instances des clients soient protégées, nous recommandons aux clients de corriger les systèmes d'exploitation de leurs instances. Cette correction renforce les protections garanties par ces systèmes d'exploitation pour isoler les logiciels s'exécutant au sein de la même instance. Afin d'obtenir davantage de détails, reportez-vous aux directives générales spécifiques aux fournisseurs concernant la disponibilité et le déploiement des correctifs.

Directives générales spécifiques aux fournisseurs :

Pour les systèmes d'exploitation non répertoriés, les clients doivent consulter le fournisseur de leur AMI ou de leur système d'exploitation afin d'obtenir les mises à jour et les instructions.

Mises à jour d'autres services AWS

AMI Amazon Linux (ID de bulletin : ALAS-2018-939)

Un noyau mis à jour pour Amazon Linux est disponible dans les référentiels d'Amazon Linux. Les instances EC2 lancées avec la configuration d'Amazon Linux par défaut à compter du 3 janvier 2018 à 22:45 (GMT) incluent automatiquement le package mis à jour. Les clients disposant d'instances AMI Amazon Linux existantes doivent exécuter la commande suivante afin de recevoir le package mis à jour :

sudo yum update kernel

Lorsque la mise à jour yum est terminée, un redémarrage est nécessaire afin que les mises à jour entrent en vigueur.

Vous trouverez davantage d'informations concernant ce bulletin dans le centre de sécurité de l'AMI Amazon Linux.

EC2 Windows

Nous avons mis à jour les AMI AWS Windows. Ces mises à jour sont disponibles aux clients, les correctifs nécessaires ont été installés sur les AMI AWS Windows et les clés de registre ont été activées.

Microsoft fournit les correctifs Windows pour les serveurs 2008R2, 2012R2 et 2016. Les correctifs sont accessibles par le biais du service intégré Windows Update du serveur 2016. Nous attendons que Microsoft nous communique des informations concernant la disponibilité des correctifs pour les serveurs 2003, 2008SP2 et 2012RTM.

Les clients AWS qui exécutent des instances Windows sur EC2 et qui ont activé l'option « Mises à jour automatiques » doivent exécuter les mises à jour automatiques afin de télécharger et d'installer la mise à jour requise pour Windows lorsque celle-ci est disponible.

Veuillez noter que les correctifs des serveurs 2008R2 et 2012R2 sont actuellement indisponibles par le biais du service Windows Update et doivent être téléchargés manuellement. Microsoft a indiqué que ces correctifs seront disponibles le mardi 9 janvier.

Les clients AWS qui exécutent des instances Windows sur EC2 et qui n'ont pas activé l'option « Mises à jour automatiques » doivent installer manuellement la mise à jour nécessaire lorsque celle-ci est disponible, en suivant les instructions détaillées à l'adresse : http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Veuillez noter que pour les serveurs Windows Server, des étapes supplémentaires sont requises par Microsoft afin d'activer les fonctions de protection de la mise à jour pour ce problème. Les directives sont détaillées à l'adresse : https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI optimisée pour ECS

Nous avons publié la version 2017.09.e de l'AMI optimisée pour Amazon ECS qui intègre toutes les protections Amazon Linux pour ce problème. Nous conseillons à tous les clients Amazon ECS d'exécuter la mise à niveau vers cette dernière version, qui est disponible sur AWS Marketplace. Les clients qui choisissent de mettre à jour les instances existantes sur place doivent exécuter la commande suivante sur chaque instance de conteneur :

sudo yum update kernel

Afin de terminer la mise à jour, un redémarrage de l'instance de conteneur est requis.

Nous conseillons aux clients Linux qui n'utilisent pas l'AMI optimisée pour ECS de consulter le fournisseur de tout système d'exploitation, logiciel ou AMI autre/tiers pour ce qui concerne les mises à jour et les instructions, si nécessaire. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité de l'AMI Amazon Linux.

Une AMI optimisée pour ECS et EC2 Windows Microsoft sera lancée dès que les correctifs Microsoft seront disponibles.

Elastic Beanstalk

Nous publierons de nouvelles versions de plateforme qui incluent la mise à jour de noyau afin de régler ce problème dans les 48 heures. Pour les environnements Linux, nous vous recommandons d'activer l'option « Mises à jour de plateforme gérées » afin que les mises à jour s'exécutent automatiquement dans votre fenêtre de maintenance sélectionnée lorsque celles-ci sont disponibles. Nous publierons les instructions relatives aux environnements Windows lorsque la mise à jour sera disponible.  

AWS Fargate

Toute infrastructure exécutant des tâches Fargate a été corrigée selon les indications ci-dessus et aucune action de la part du client n'est nécessaire.

Amazon FreeRTOS

Aucune mise à jour n'est requise pour Amazon FreeRTOS et ses processeurs ARM pris en charge.

AWS Lambda

Toutes les instances exécutant des fonctions Lambda ont été corrigées selon les indications ci-dessus et aucune action de la part du client n'est nécessaire.

RDS

Les instances de base de données client gérées par RDS sont dédiées à l'exécution d'un seul moteur de base de données pour un seul client, sans aucun autre processus accessible aux clients et aucune possibilité pour les clients d'exécuter le code sur l'instance sous-jacente. Étant donné qu'AWS a terminé la protection de toute l'infrastructure sous-jacente de RDS, les anomalies entre processus et noyau ou entre processus inhérentes à ce problème ne présentent aucun risque pour les clients. À l'heure actuelle, aucune anomalie entre processus connue n'a été constatée pour la plupart des supports RDS des moteurs de base de données. D'autres détails spécifiques à un moteur de base de données figurent ci-dessous et, sauf indication contraire, aucune action de la part du client n'est requise. Nous mettrons à jour ce bulletin dès que nous disposerons de davantage d'informations.

Aucune action de la part du client n'est actuellement requise pour les instances de base de données RDS for MariaDB, RDS for MySQL, Aurora MySQL et RDS for Oracle.

Pour RDS PostgreSQL et Aurora PostgreSQL, aucune action de la part du client n'est actuellement requise pour les instances de base de données qui s'exécutent dans la configuration par défaut. Nous fournirons les correctifs appropriés pour les utilisateurs des extensions plv8 dès qu'ils seront disponibles. En attendant, les clients qui ont activé les extensions plv8 (désactivées par défaut) doivent envisager de les désactiver et consulter les directives de V8 à l'adresse https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Pour les instances de base de données RDS for SQL Server, nous publierons les correctifs des moteurs de base de données et de système d'exploitation à mesure que Microsoft les mettra à disposition, ce qui permettra aux clients d'effectuer la mise à niveau lorsqu'ils le désirent. Nous mettrons à jour ce bulletin à la première occurrence. En attendant, les clients qui ont activé l'extension CLR (désactivée par défaut) doivent consulter les directives de Microsoft concernant la désactivation de l'extension CLR à l'adresse https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

VMware Cloud on AWS

Afin d'obtenir davantage de détails, veuillez vous reporter à l'avis de sécurité VMware à l'adresse : https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

AWS appliquera les mises à jour de sécurité publiées par Microsoft pour la plupart des instances WorkSpaces AWS le week-end prochain. Les clients doivent s'attendre au redémarrage de leurs instances WorkSpaces au cours de cette période.

Les clients qui utilisent la fonctionnalité BYOL (Réutilisez vos licences) et ceux qui ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces doivent appliquer manuellement les mises à jour de sécurité fournies par Microsoft.

Veuillez suivre les instructions fournies par l'avis de sécurité Microsoft à l'adresse https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. L'avis de sécurité comprend des liens vers des articles de base de connaissances pour les systèmes d'exploitation Windows Client et Server qui contiennent d'autres informations spécifiques.

Des offres WorkSpaces mises à jour seront bientôt disponibles avec les mises à jour de sécurité. Les clients qui ont créé des offres personnalisées doivent les mettre à jour afin qu'elles incluent les mises à jour de sécurité proprement dites. Toute nouvelle instance WorkSpaces lancée à partir d'offres qui ne comprennent pas les mises à jour recevront des correctifs rapidement après le lancement, sauf si les clients ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces, auquel cas ils doivent suivre les étapes ci-dessus pour appliquer manuellement les mises à jour de sécurité fournies par Microsoft.

WorkSpaces Application Manager (WAM)

Nous recommandons aux clients de choisir l'une des procédures suivantes :

Option 1 : appliquer manuellement les correctifs Microsoft sur les instances en cours d'exécution de WAM Packager et Validator en suivant les étapes fournies par Microsoft à l'adresse https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Cette page comprend des instructions complémentaires et des téléchargements pour Windows Server.

Option 2 : recréer de nouvelles instances EC2 de WAM Packager et Validator à partir d'AMI mises à jour pour WAM Packager et Validator, qui seront disponibles à la fin de la journée (04/01/2018).