16 août 2018 14:45 PDT (heure du Pacifique)
Identifiants CVE : CVE-2018-3620, CVE-2018-3646
Intel a publié un avis de sécurité (INTEL-SA-00161) concernant une nouvelle méthode d'analyse des canaux auxiliaires portant sur leurs processeurs et appelée L1 Terminal Fault (L1TF). AWS a conçu et mis en place son infrastructure en la dotant de protections contre ces types d'attaques, et a également déployé des protections supplémentaires pour L1TF. L'intégralité de l'infrastructure hôte EC2 a été mise à jour avec ces nouvelles protections. Aucune action du client n'est donc requise au niveau de l'infrastructure.
Les noyaux mis à jour pour l'AMI Amazon Linux 2017.09 (ALAS-2018-1058), l'AMI Amazon Linux 2018.03 (ALAS-2018-1058) et l'AMI Amazon Linux 2 (ALAS-2018-1058) sont disponibles dans les référentiels respectifs. Du point de vue de la sécurité générale, nous recommandons aux clients de corriger leurs systèmes d'exploitation ou leurs logiciels à mesure que des correctifs pertinents deviennent disponibles afin de résoudre les problèmes liés aux canaux auxiliaires.
Nous avons publié de nouvelles versions des AMI Amazon Linux et Amazon Linux 2 qui incluent automatiquement le noyau mis à jour. Les ID d'AMI pour les images avec les noyaux mis à jour peuvent être trouvés au niveau des ID AMI Amazon Linux 2018.03, ID AMI Amazon Linux 2 et dans le Parameter Store d'AWS Systems Manager.
En attendant, nous suggérons d'utiliser les propriétés de sécurité et d'isolation renforcées des instances EC2 plutôt que de compter sur les conteneurs ou les limites des processus du système d'exploitation lorsque les charges de travail s'exécutent avec des privilèges de sécurité différents.