Vous consultez une version précédente du présent bulletin de sécurité. Afin d'obtenir la version la plus récente, consultez « Divulgation de recherche sur l'exécution spéculative du processeur ».
Concerne : CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Mise à jour : 08/01/2018 14:25 PST (heure du Pacifique)
Il s'agit d'une mise à jour pour ce problème.
Amazon EC2
Toutes les instances de la flotte Amazon EC2 sont protégées contre tout vecteur de menace connu des CVE précédemment mentionnés. Les instances des clients sont protégées contre ces menaces provenant d'autres instances. Nous n'avons pas remarqué d'incidence significative sur les performances de la grande majorité des charges de travail EC2.
Actions recommandées de la part du client pour AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce et Amazon Lightsail
Bien que toutes les instances des clients soient protégées, nous recommandons aux clients de corriger les systèmes d'exploitation de leurs instances. Cette correction renforce les protections garanties par ces systèmes d'exploitation pour isoler les logiciels s'exécutant au sein de la même instance. Afin d'obtenir davantage de détails, reportez-vous aux directives générales spécifiques aux fournisseurs concernant la disponibilité et le déploiement des correctifs.
Directives générales spécifiques aux fournisseurs :
- Amazon Linux – Plus de détails ci-dessous.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Pour les systèmes d'exploitation non répertoriés, les clients doivent consulter le fournisseur de leur AMI ou de leur système d'exploitation afin d'obtenir les mises à jour et les instructions.
Mises à jour d'autres services AWS
AMI Amazon Linux (ID de bulletin : ALAS-2018-939)
Un noyau mis à jour pour Amazon Linux est disponible dans les référentiels d'Amazon Linux. Les instances EC2 lancées avec la configuration d'Amazon Linux par défaut à compter du 3 janvier 2018 à 22:45 (GMT) incluent automatiquement le package mis à jour. Les clients disposant d'instances AMI Amazon Linux existantes doivent exécuter la commande suivante afin de recevoir le package mis à jour :
sudo yum update kernel
Lorsque la mise à jour yum est terminée, un redémarrage est nécessaire afin que les mises à jour prennent effet.
Vous trouverez davantage d'informations concernant ce bulletin dans le centre de sécurité de l'AMI Amazon Linux.
EC2 Windows
Nous avons mis à jour les AMI AWS Windows. Ces mises à jour sont disponibles aux clients, les correctifs nécessaires ont été installés sur les AMI AWS Windows et les clés de registre ont été activées.
Microsoft fournit les correctifs Windows pour les serveurs 2008R2, 2012R2 et 2016. Les correctifs sont accessibles par le biais du service intégré Windows Update du serveur 2016. Nous attendons que Microsoft nous communique des informations concernant la disponibilité des correctifs pour les serveurs 2003, 2008SP2 et 2012RTM.
Les clients AWS qui exécutent des instances Windows sur EC2 et qui ont activé l'option « Mises à jour automatiques » doivent exécuter les mises à jour automatiques afin de télécharger et d'installer la mise à jour requise pour Windows lorsque celle-ci est disponible.
Notez que les correctifs des serveurs 2008R2 et 2012R2 sont actuellement indisponibles par le biais du service Windows Update et doivent être téléchargés manuellement. Microsoft a indiqué que ces correctifs seront disponibles le mardi 9 janvier.
Les clients AWS qui exécutent des instances Windows sur EC2 et qui n'ont pas activé l'option « Mises à jour automatiques » doivent installer manuellement la mise à jour nécessaire lorsque celle-ci est disponible, en suivant les instructions détaillées à l'adresse : http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Notez que pour les serveurs Windows Server, des étapes supplémentaires sont requises par Microsoft afin d'activer les fonctions de protection de la mise à jour pour ce problème. Les directives sont détaillées à l'adresse : https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI optimisée pour ECS
Nous avons publié la version 2017.09.e de l'AMI optimisée pour Amazon ECS qui intègre toutes les protections Amazon Linux pour ce problème. Nous conseillons à tous les clients Amazon ECS d'exécuter la mise à niveau vers cette dernière version, qui est disponible sur AWS Marketplace. Les clients qui choisissent de mettre à jour les instances existantes sur place doivent exécuter la commande suivante sur chaque instance de conteneur :
sudo yum update kernel
Afin de terminer la mise à jour, un redémarrage de l'instance de conteneur est requis.
Nous conseillons aux clients Linux qui n'utilisent pas l'AMI optimisée pour ECS de consulter le fournisseur de tout système d'exploitation, logiciel ou AMI autre/tiers pour ce qui concerne les mises à jour et les instructions, si nécessaire. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité de l'AMI Amazon Linux.
Une AMI optimisée pour ECS et EC2 Windows Microsoft sera lancée dès que les correctifs Microsoft seront disponibles.
Elastic Beanstalk
Nous avons mis à jour toutes les plates-formes basées sur Linux pour qu'elles comprennent toutes les protections Amazon Linux pour ledit problème. Consultez les notes de mise à jour correspondant aux versions spécifiques des plates-formes. Les clients sont encouragés à mettre à jour leurs environnements. Les environnements qui utilisent les mises à jour gérées seront mis à jour automatiquement pendant la fenêtre de maintenance configurée.
L'équipe Elastic Beanstalk continue de travailler sur les mises à jour de la plate-forme Windows. Les clients Elastic Beanstalk utilisant les plates-formes basées sur Windows sont encouragés à installer manuellement les mises à jour de sécurité disponibles en suivant les instructions dans la section susmentionnée de ce bulletin « EC2 Windows ».
AWS Fargate
Toute infrastructure exécutant des tâches Fargate a été corrigée selon les indications ci-dessus et aucune action de la part du client n'est nécessaire.
Amazon FreeRTOS
Aucune mise à jour n'est requise pour Amazon FreeRTOS et ses processeurs ARM pris en charge.
AWS Lambda
Toutes les instances exécutant des fonctions Lambda ont été corrigées selon les indications ci-dessus et aucune action de la part du client n'est nécessaire.
RDS
Les instances de base de données client gérées par RDS sont dédiées à l'exécution d'un seul moteur de base de données pour un seul client, sans aucun autre processus accessible aux clients et aucune possibilité pour les clients d'exécuter le code sur l'instance sous-jacente. Étant donné qu'AWS a terminé la protection de toute l'infrastructure sous-jacente de RDS, les anomalies entre processus et noyau ou entre processus inhérentes à ce problème ne présentent aucun risque pour les clients. À l'heure actuelle, aucune anomalie entre processus connue n'a été constatée pour la plupart des supports RDS des moteurs de base de données. D'autres détails spécifiques à un moteur de base de données figurent ci-dessous et, sauf indication contraire, aucune action de la part du client n'est requise. Nous mettrons à jour ce bulletin dès que nous disposerons de davantage d'informations.
Aucune action de la part du client n'est actuellement requise pour les instances de base de données RDS for MariaDB, RDS for MySQL, Aurora MySQL et RDS for Oracle.
Pour RDS PostgreSQL et Aurora PostgreSQL, aucune action de la part du client n'est actuellement requise pour les instances de base de données qui s'exécutent dans la configuration par défaut. Nous fournirons les correctifs appropriés pour les utilisateurs des extensions plv8 dès qu'ils seront disponibles. En attendant, les clients qui ont activé les extensions plv8 (désactivées par défaut) doivent envisager de les désactiver et consulter les directives de V8 à l'adresse https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Pour les instances de base de données RDS for SQL Server, nous publierons les correctifs des moteurs de base de données et de système d'exploitation à mesure que Microsoft les mettra à disposition, ce qui permettra aux clients d'effectuer la mise à niveau lorsqu'ils le désirent. Nous mettrons à jour ce bulletin à la première occurrence. En attendant, les clients qui ont activé l'extension CLR (désactivée par défaut) doivent consulter les directives de Microsoft concernant la désactivation de l'extension CLR à l'adresse https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Afin d'obtenir davantage de détails, reportez-vous à l'avis de sécurité VMware à l'adresse : https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
AWS appliquera les mises à jour de sécurité publiées par Microsoft pour la plupart des instances WorkSpaces AWS le week-end prochain. Les clients doivent s'attendre au redémarrage de leurs instances WorkSpaces au cours de cette période.
Les clients qui utilisent la fonctionnalité BYOL (Réutilisez vos licences) et ceux qui ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces doivent appliquer manuellement les mises à jour de sécurité fournies par Microsoft.
Suivez les instructions fournies par l'avis de sécurité Microsoft à l'adresse https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. L'avis de sécurité comprend des liens vers des articles de base de connaissances pour les systèmes d'exploitation Windows Client et Server qui contiennent d'autres informations spécifiques.
Des offres WorkSpaces mises à jour seront bientôt disponibles avec les mises à jour de sécurité. Les clients qui ont créé des offres personnalisées doivent les mettre à jour afin qu'elles incluent les mises à niveau de sécurité proprement dites. Toute nouvelle instance WorkSpaces lancée à partir d'offres qui ne comprennent pas les mises à jour recevra des correctifs rapidement après le lancement, sauf si les clients ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces, auquel cas ils doivent suivre les étapes ci-dessus pour appliquer manuellement les mises à jour de sécurité fournies par Microsoft.
WorkSpaces Application Manager (WAM)
Nous recommandons aux clients de choisir l'une des procédures suivantes :
Option 1 : appliquer manuellement les correctifs Microsoft sur les instances en cours d'exécution de WAM Packager et Validator en suivant les étapes fournies par Microsoft à l'adresse https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Cette page comprend des instructions complémentaires et des téléchargements pour Windows Server.
Option 2 : recréer de nouvelles instances EC2 de WAM Packager et Validator à partir d'AMI mises à jour pour WAM Packager et Validator, qui seront disponibles à la fin de la journée (04/01/2018).