Vous consultez une version précédente du présent bulletin de sécurité. Pour consulter la version la plus à jour, reportez-vous à : « Problèmes de dénis de service Linux Kernel TCP SACK ».
17 juin 2019, 10h00 PDT (heure du Pacifique)
Identifiants CVE : CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
AWS a connaissance de trois problèmes découverts récemment qui affectent le sous-système de traitement TCP du noyau Linux. Plus précisément, un client ou serveur TCP malveillant peut transmettre une série de paquets spécialement conçue qui peut faire paniquer et redémarrer le noyau Linux de n'importe quel système de connexion ciblé.
Les systèmes et l'infrastructure sous-jacents d'AWS sont protégés contre ces problèmes. À l'exception des services AWS listés ci-dessous, aucune action n'est exigée des clients pour atténuer les problèmes potentiels de déni de service (DoS) liés à ces problèmes.
Amazon Elastic Compute Cloud (EC2)
Les clients d'instances EC2 basées sur Linux, qu'ils initient ou reçoivent directement des connexions TCP de la part des parties non approuvées ou leur envoient, p. ex., Internet, exigent des correctifs du système d'exploitation pour atténuer les éventuelles questions de déni de service de ces problèmes. REMARQUE : les clients qui utilisent Amazon Elastic Load Balancing (ELB) doivent examiner « Elastic Load Balancing (ELB) » ci-dessous pour plus de renseignements.
AMI Amazon Linux et AMI Amazon Linux 2
Les AMI Amazon Linux mises à jour seront mises à votre disposition rapidement. Nous mettrons à jour ce bulletin dès qu'elles pourront être utilisées.
Les noyaux mis à jour pour l'AMI Amazon Linux et pour Amazon Linux 2 sont disponibles immédiatement dans les référentiels Amazon Linux. Les clients disposant d'instances EC2 existantes exécutant Amazon Linux doivent exécuter la commande suivante au sein de chaque instance EC2 exécutant Amazon Linux pour recevoir le package mis à jour :
sudo yum update kernel
Comme c'est le cas pour chaque mise à jour du noyau Linux, une fois la mise à jour yum terminée, un redémarrage est nécessaire pour que les mises à jour entrent en vigueur.
Plus d'informations seront rapidement disponibles dans le centre de sécurité Amazon Linux.
Elastic Load Balancing (ELB)
Les Network Load Balancers (NLB) ne filtrent pas le trafic. Les instances EC2 basées sur Linux qui utilisent des NLB exigent des correctifs du système d'exploitation pour atténuer d'éventuelles questions de déni de service liées à ces problèmes. Les noyaux à jour pour Amazon Linux sont disponibles maintenant et des instructions concernant la mise à jour des instances EC2 exécutant actuellement Amazon Linux sont fournies ci-dessus. Les clients qui n'utilisent pas Amazon Linux doivent contacter leur fournisseur de système d'exploitation pour les mises à jour ou instructions nécessaires à l'atténuation d'éventuelles questions de déni de service.
Les instances EC2 basées sur Linux qui utilisent des Classic Load Balancers et des équilibreurs de charge d'application Elastic Load Balancing (ELB) n'exigent aucune action de la part du client. Les ALB ou CLB ELB filtrent le trafic entrant pour atténuer les éventuelles questions de déni de service de ces problèmes.
Amazon WorkSpaces (Linux)
Tous les nouveaux Amazon Linux WorkSpaces seront lancés avec les noyaux à jour. Les noyaux à jour pour Amazon Linux 2 ont déjà été installés pour les Amazon Linux WorkSpaces existants.
Comme c'est le cas pour chaque mise à jour du noyau Linux, un redémarrage est nécessaire pour que les mises à jour entrent en vigueur. Nous recommandons aux utilisateurs d'effectuer un redémarrage manuel dès que possible. Autrement, Amazon Linux WorkSpaces redémarrera automatiquement entre 00 h 00 et 4 h 00 heure local le 18 juin.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Tous les clusters Amazon EKS en cours d'exécution sont protégés contre ces problèmes. Amazon EKS a publié des Amazon Machine Images (AMIs) optimisées pour EKS avec le correctif de noyau Amazon Linux 2 le 17 juin 2019. Vous pouvez obtenir plus d'informations sur l'AMI optimisée pour EKS en consultant https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Nous recommandons aux clients EKS de remplacer tous les nœuds de travail pour utiliser la dernière version optimisée pour EKS de l'AMI. Des instructions sur la mise à jour des nœuds de travail sont disponibles sur https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
Des versions à jour de la plateforme basée sur Linux AWS Elastic Beanstalk seront disponibles le 17 juin 2019. Ce bulletin sera mis à jour une fois que les nouvelles versions de plateforme seront disponibles. Les clients qui utilisent les mises à jour de plateforme gérées obtiendront automatiquement une mise à jour vers la version la plus récente de la plateforme dans leur fenêtre de maintenance sélectionnée sans qu'aucune autre action ne soit requise de leur part. Alternativement, les clients qui utilisent les mises à jour de plateforme gérées peuvent appliquer indépendamment des mises à jour disponibles avant leur fenêtre de maintenance sélectionnée en accédant à la page de configuration des mises à jour gérées et en cliquant sur le bouton « Apply Now » (appliquer maintenant).
Les clients qui n'ont pas activé les mises à jour de plateforme gérées doivent mettre à jour la version de plateforme de leur environnement en suivant les instructions ci-dessus. Vous trouverez plus d'informations sur les mises à jour de plateforme gérées sur https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache lance les clusters des instances Amazon EC2 exécutant Amazon Linux dans les VPC client. Ces derniers n'acceptent pas les connexions TCP non approuvées par défaut et ne sont pas affectés par ces problèmes.
Les clients ayant apporté des modifications à la configuration VPC ElastiCache par défaut doivent s'assurer que leurs groupes de sécurité ElastiCache suivent les bonnes pratiques de sécurité recommandées par AWS, en les configuration de sorte qu'ils bloquent le trafic réseau des clients non approuvés pour atténuer les éventuelles questions de déni de service. Vous pouvez obtenir plus d'informations sur la configuration VPC ElastiCache en consultant https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Les clients dont les clusters ElastiCache s'exécutent en dehors de leurs VPC et qui ont apporté des modifications à la configuration par défaut doivent configurer un accès approuvé à l'aide des groupes de sécurité ElastiCache. Pour en savoir plus sur la création de groupes de sécurité ElastiCache, consultez https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
L'équipe ElastiCache publiera bientôt un nouveau correctif, qui résoudra ces problèmes. Une fois ce correctif disponible, nous préviendrons les clients qu'il est prêt à être appliqué. Les clients pourront alors choisir de mettre leurs clusters à jour avec la fonction de mise à jour en libre-service ElastiCache. Vous pouvez obtenir plus d'informations sur les mises à jour des correctifs en libre-service ElastiCache en consultant https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR lance les clusters des instances Amazon EC2 exécutant Amazon Linux dans les VPC client en leur nom. Ces clusters n'acceptent pas les connexions TCP non approuvées par défaut et ne sont donc pas affectés par ces problèmes.
Les clients ayant apporté des modifications à la configuration VPC EMR par défaut doivent s'assurer que leurs groupes de sécurité EMR suivent les bonnes pratiques de sécurité recommandées par AWS, de sorte qu'ils bloquent le trafic réseau des clients non approuvés pour atténuer les éventuelles questions de déni de service. Pour plus d'informations sur les groupes de sécurité EMR, consultez https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html.
Les clients qui choisissent de ne pas configurer les groupes de sécurité EMR, conformément aux bonnes pratiques de sécurité recommandées par AWS (ou qui exigent des correctifs de système d'exploitation pour se conformer à toutes les politiques de sécurité supplémentaires), peuvent suivre les instructions ci-dessous pour mettre à jour les nouveaux clusters EMR ou les clusters EMR existants pour atténuer ces problèmes. REMARQUE : ces mises à jour nécessitent le redémarrage des instances de cluster et peuvent avoir un impact sur les applications en cours d'exécution. Les clients ne doivent pas redémarrer leurs clusters tant qu'ils ne l'estiment pas nécessaire :
pour les nouveaux clusters, utilisez une action d'amorçage EMR pour mettre à jour le noyau Linux et redémarrer chaque instance. Vous pouvez obtenir plus d'informations sur les action d'amorçage EMR en consultant https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html.
Pour les clusters existants, mettez à jour le noyau Linux sur chaque instance au sein d'un cluster et redémarrez-les en mode continu.