Vous consultez une version précédente du présent bulletin de sécurité. Afin d'obtenir la version la plus récente, consultez « Divulgation de recherche sur l'exécution spéculative du processeur ».
Concerne : CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Mise à jour au : 09/01/2018 19:10 PST (heure du Pacifique)
Il s'agit d'une mise à jour concernant ce problème.
Une deuxième version du noyau pour Amazon Linux est désormais disponible. Elle corrige les bogues KPTI et améliore les mesures d’atténuation pour CVE-2017-5754. Pour atténuer efficacement les problèmes de CVE-2017-5754 entre processus au sein de leurs instances, les clients doivent procéder à une mise à niveau vers le dernier noyau ou la dernière AMI Amazon Linux. Consultez « AMI Amazon Linux » ci-dessous pour en savoir plus.
Consultez les informations de « Conseils sur les instances PV » ci-dessous pour ce qui concerne les instances para-virtualisées (PV).
Amazon EC2
Toutes les instances de la flotte Amazon EC2 sont protégées contre toutes les anomalies entre instances précédemment énumérées. Les anomalies entre instances supposent qu'une instance voisine non approuvée pourrait lire la mémoire d'une autre instance ou de l'hyperviseur AWS. Ce problème a été résolu pour les hyperviseurs AWS et aucune instance ne peut lire la mémoire d'une autre ni celle de l'hyperviseur AWS. Nous n'avons pas remarqué d'incidence significative sur les performances de la grande majorité des charges de travail EC2.
Actions recommandées de la part du client pour AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce et Amazon Lightsail
Nonobstant la protection de toutes leurs instances comme décrit ci-dessus, nous recommandons aux clients d’appliquer le correctif aux systèmes d'exploitation de leurs instances pour isoler l’exécution du logiciel au sein de la même instance et atténuer la vulnérabilité CVE-2017-5754 entre processus. Afin d'obtenir davantage de détails, reportez-vous aux directives générales spécifiques aux fournisseurs concernant la disponibilité et le déploiement des correctifs.
Directives générales spécifiques aux fournisseurs :
- Amazon Linux – Plus de détails ci-dessous.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Pour les systèmes d'exploitation non répertoriés, les clients doivent consulter le fournisseur de leur AMI ou de leur système d'exploitation afin d'obtenir les mises à jour et les instructions.
Conseils sur les instances PV
Après une recherche continue et une analyse détaillée des correctifs de système d'exploitation disponibles pour ce problème, nous avons conclu que les protections du système d'exploitation sont insuffisantes pour résoudre les anomalies entre processus dans les instances para-virtualisées (PV). Bien que les instances PV soient protégées par les hyperviseurs AWS contre toutes les anomalies entre instances comme indiqué ci-dessus, les clients soucieux de l'isolation des processus au sein de leurs instances PV (ex. données non approuvées des processus, exécution de code non approuvé, utilisateurs non approuvés d'hôte), sont fortement encouragés à migrer vers des types d'instance HVM pour profiter d'avantages à plus long terme en matière de sécurité.
Pour plus d'informations sur les différences entre PV et HVM (ainsi que la documentation sur le chemin de mise à niveau des instances), consultez :
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Contactez le support si vous avez besoin d'assistance en ce qui concerne le chemin de mise à niveau d'instances PV.
Mises à jour d'autres services AWS
Les services suivants nécessitaient l'application de correctifs aux instances EC2 gérées au nom des clients. Toutes les opérations sont terminées et aucune action de la part des clients n'est nécessaire :
- Fargate
- Lambda
Sauf indication contraire ci-dessous, aucun des autres services AWS ne nécessite d'action de la part du client.
AMI Amazon Linux (ID de bulletin : ALAS-2018-939)
Un noyau mis à jour pour Amazon Linux est disponible dans les référentiels d'Amazon Linux. Les instances EC2 lancées avec la configuration d'Amazon Linux par défaut à compter du 8 janvier 2018 incluent automatiquement le package mis à jour qui corrige au bogues KPTI et améliore les mesures d'atténuation pour CVE-2017-5754.
REMARQUE : les clients doivent effectuer la mise à niveau vers le dernier noyau ou AMI Amazon Linux pour atténuer efficacement CVE-2017-5754 dans leurs instances. Nous continuerons à fournir les améliorations pour Amazon Linux et les AMI Amazon Linux mis à jour, et intégrerons les contributions de la communauté Linux open source qui corrigent ce problème à mesure qu'elles sont disponibles.
Les clients disposant d'instances AMI Amazon Linux existantes doivent exécuter la commande suivante afin de recevoir le package mis à jour :
sudo yum update kernel
Comme c'est le cas pour chaque mise à jour du noyau Linux, une fois la mise à jour yum terminée, un redémarrage est nécessaire pour que les mises à jour prennent effet.
Vous trouverez davantage d'informations concernant ce bulletin dans le centre de sécurité de l'AMI Amazon Linux.
Pour Amazon Linux 2, suivez les instructions pour Amazon Linux décrites ci-dessus.
EC2 Windows
Nous avons mis à jour les AMI AWS Windows. Ces mises à jour sont disponibles aux clients, les correctifs nécessaires ont été installés sur les AMI AWS Windows et les clés de registre ont été activées.
Microsoft fournit les correctifs Windows pour les serveurs 2008R2, 2012R2 et 2016. Les correctifs sont accessibles par le biais du service intégré Windows Update du serveur 2016. Nous attendons que Microsoft nous communique des informations concernant la disponibilité des correctifs pour les serveurs 2003, 2008SP2 et 2012RTM.
Les clients AWS qui exécutent des instances Windows sur EC2 et qui ont activé l'option « Mises à jour automatiques » doivent exécuter les mises à jour automatiques afin de télécharger et d'installer la mise à jour requise pour Windows lorsque celle-ci est disponible.
Notez que les correctifs des serveurs 2008R2 et 2012R2 sont actuellement indisponibles par le biais du service Windows Update et doivent être téléchargés manuellement. Microsoft avait précédemment indiqué que ces correctifs seraient disponibles mardi 9 janvier. Cependant, nous attendons toujours des informations quant à leur disponibilité.
Les clients AWS qui exécutent des instances Windows sur EC2 et qui n'ont pas activé l'option « Mises à jour automatiques » doivent installer manuellement la mise à jour nécessaire lorsque celle-ci est disponible, en suivant les instructions détaillées à l'adresse : http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Notez que pour les serveurs Windows Server, des étapes supplémentaires sont requises par Microsoft afin d'activer les fonctions de protection de la mise à jour pour ce problème. Les directives sont détaillées à l'adresse : https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI optimisée pour ECS
Nous avons publié la version 2017.09.f de l'AMI optimisée pour Amazon ECS qui intègre toutes les protections Amazon Linux pour ce problème, y compris la deuxième mise à jour de noyau Amazon Linux mentionnée ci-dessus. Nous conseillons à tous les clients Amazon ECS d'exécuter la mise à niveau vers cette dernière version, qui est disponible sur AWS Marketplace. Nous continuerons d'intégrer les améliorations d'Amazon Linux lorsqu'elles seront disponibles.
Les clients qui décident plutôt de mettre à jour des instances existantes avec AMI optimisé pour ECS doivent exécuter la commande suivante pour veiller à recevoir le package mis à jour :
sudo yum update kernel
Comme c'est le cas pour chaque mise à jour du noyau Linux, une fois la mise à jour yum terminée, un redémarrage est nécessaire pour que les mises à jour prennent effet.
Nous recommandons aux clients Linux qui n'utilisent pas l'AMI optimisé pour ECS de consulter leur fournisseur de tout système d'exploitation, logiciel ou AMI autre/tiers pour ce qui concerne les mises à jour et les instructions, si nécessaire. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité de l'AMI Amazon Linux.
Nous mettons à jour l'AMI Windows optimisée pour Amazon ECS et nous mettrons à jour ce bulletin lorsque la mise à jour sera disponible. Microsoft fournit les correctifs Windows pour le serveur 2016. Pour en savoir sur la manière d'appliquer ces correctifs aux instances en cours d'exécution, consultez https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Nous avons mis à jour toutes les plates-formes basées sur Linux pour qu'elles comprennent toutes les protections Amazon Linux pour ledit problème. Consultez les notes de mise à jour correspondant aux versions spécifiques des plates-formes. Les clients sont encouragés à mettre à jour leurs environnements. Les environnements qui utilisent les mises à jour gérées seront mis à jour automatiquement pendant la fenêtre de maintenance configurée.
Nous travaillons à l'intégration de la seconde mise à jour du noyau Amazon Linux susmentionnée. Nous mettrons ce bulletin à jour une fois que les nouvelles versions de plate-forme seront disponibles.
L'équipe Elastic Beanstalk continue de travailler sur les mises à jour de la plate-forme Windows. Dans le même temps, les clients Elastic Beanstalk utilisant les plates-formes basées sur Windows sont encouragés à installer manuellement les mises à jour de sécurité disponibles en suivant les instructions dans la section susmentionnée de ce bulletin « EC2 Windows ».
RDS
Les instances de base de données client gérées par RDS sont dédiées à l'exécution d'un seul moteur de base de données pour un seul client, sans aucun autre processus accessible aux clients et aucune possibilité pour les clients d'exécuter le code sur l'instance sous-jacente. Étant donné qu'AWS a terminé la protection de toute l'infrastructure sous-jacente de RDS, les anomalies entre processus et noyau ou entre processus inhérentes à ce problème ne présentent aucun risque pour les clients. À l'heure actuelle, aucune anomalie entre processus connue n'a été constatée pour la plupart des supports RDS des moteurs de base de données. D'autres détails spécifiques à un moteur de base de données figurent ci-dessous et, sauf indication contraire, aucune action de la part du client n'est requise. Nous mettrons à jour ce bulletin dès que nous disposerons de davantage d'informations.
Pour les instances de base de données RDS for SQL Server, nous publierons les correctifs des moteurs de base de données et de système d'exploitation à mesure que Microsoft les mettra à disposition, ce qui permettra aux clients d'effectuer la mise à niveau lorsqu'ils le désirent. Nous mettrons à jour ce bulletin à la première occurrence. En attendant, les clients qui ont activé l'extension CLR (désactivée par défaut) doivent consulter les directives de Microsoft concernant la désactivation de l'extension CLR à l'adresse https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
Pour RDS PostgreSQL et Aurora PostgreSQL, aucune action de la part du client n'est actuellement requise pour les instances de base de données qui s'exécutent dans la configuration par défaut. Nous fournirons les correctifs appropriés pour les utilisateurs des extensions plv8 dès qu'ils seront disponibles. En attendant, les clients qui ont activé les extensions plv8 (désactivées par défaut) doivent envisager de les désactiver et consulter les conseils de V8 à l'adresse https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Aucune action de la part du client n'est actuellement nécessaire pour les instances de base de données RDS for MariaDB, RDS for MySQL, Aurora MySQL et RDS for Oracle.
VMware Cloud on AWS
Selon VMware, « La correction telle qu'elle est documentée dans VMSA-2018-0002 est présente dans VMware Cloud on AWS depuis début décembre 2017. »
Consultez le blog de VMware sur la sécurité et la conformité pour plus de détails et https://status.vmware-services.io pour obtenir un statut à jour.
WorkSpaces
AWS appliquera les mises à jour de sécurité publiées par Microsoft pour la plupart des instances WorkSpaces AWS le week-end prochain. Les clients doivent s'attendre au redémarrage de leurs instances WorkSpaces au cours de cette période.
Les clients qui utilisent la fonctionnalité BYOL (Réutilisez vos licences) et ceux qui ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces doivent appliquer manuellement les mises à jour de sécurité fournies par Microsoft.
Veuillez suivre les instructions fournies par l'avis de sécurité Microsoft à l'adresse https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. L'avis de sécurité comprend des liens vers des articles de base de connaissances pour les systèmes d'exploitation Windows Client et Server qui contiennent d'autres informations spécifiques.
Des offres WorkSpaces mises à jour seront bientôt disponibles avec les mises à jour de sécurité. Les clients qui ont créé des offres personnalisées doivent les mettre à jour afin qu'elles incluent les mises à niveau de sécurité proprement dites. Toute nouvelle instance WorkSpaces lancée à partir d'offres qui ne comprennent pas les mises à jour recevra des correctifs rapidement après le lancement, sauf si les clients ont modifié les paramètres de mise à jour par défaut dans leurs instances WorkSpaces, auquel cas ils doivent suivre les étapes ci-dessus pour appliquer manuellement les mises à jour de sécurité fournies par Microsoft.
WorkSpaces Application Manager (WAM)
Nous recommandons aux clients de choisir l'une des procédures suivantes :
Option 1 : appliquer manuellement les correctifs Microsoft sur les instances en cours d'exécution de WAM Packager et Validator en suivant les étapes fournies par Microsoft à l'adresse https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Cette page comprend des instructions complémentaires et des téléchargements pour Windows Server.
Option 2 : recréer de nouvelles instances EC2 de WAM Packager et Validator à partir d'AMI mises à jour pour WAM Packager et Validator, qui seront disponibles à la fin de la journée (04/01/2018).