Documento relativo a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aggiornamento del: 05/03/2018, ore 15:00 PST
Si tratta di un aggiornamento per questo problema.
È disponibile un kernel aggiornato per Amazon Linux nei repository di Amazon Linux. Le istanze EC2 lanciate con la configurazione predefinita di Amazon Linux in data 13 gennaio 2018 o successiva includeranno automaticamente il pacchetto aggiornato. Quest'ultimo incorpora le più recenti migliorie sulla sicurezza di Linux per open source stabili per instradare CVE-2017-5715 nel kernel e creare un Kernel Page Table Isolation (KPTI) precedentemente incorporato per instradare CVE-2017-5754. I clienti devono eseguire l'upgrade del kernel o dell'AMI di Amazon Linux alla versione più recente per limitare efficacemente i problemi tra processi di CVE-2017-5715 e i problemi tra processi e kernel di CVE-2017-5754 nelle relative istanze. Per ulteriori informazioni, consulta "L'esecuzione speculativa del processore: aggiornamenti dei sistemi operativi".
Consulta inoltre la seguente sezione "Guida alle istanze PV", relativa alle istanze paravirtualizzate (PV).
Amazon EC2
Tutte le istanze dei parchi Amazon EC2 sono protette dai problemi tra istanze noti di CVE-2017-5715, CVE-2017-5753 e CVE-2017-5754. I problemi tra istanze presuppongono che un'istanza vicina non affidabile possa leggere la memoria di un'altra istanza o dell'hypervisor di AWS. Questa problematica è stata indirizzata agli hypervisor di AWS: nessuna istanza può leggere la memoria di un'altra istanza, né la memoria dell'hypervisor di AWS. Come già detto in precedenza, non abbiamo riscontrato impatti significativi nelle prestazioni per la stragrande maggioranza dei carichi di lavoro EC2.
A partire dal 12 gennaio 2018, abbiamo ultimato la disattivazione delle porzioni del nuovo microcodice CPU Intel per le piattaforme in AWS che riscontravano un piccolo numero di arresti anomali e altri comportamenti imprevedibili causati dagli aggiornamenti del microcodice Intel. Questa modifica ha attenuato questi problemi per questo ristretto numero di istanze.
Azioni clienti consigliate per AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail
Anche se tutte le istanze cliente sono protette come illustrato in precedenza, consigliamo ai clienti di eseguire le patch dei sistemi operativi delle istanze per indirizzare problemi tra processi o tra processi e kernel di questa problematica. Consulta "L'esecuzione speculativa del processore: aggiornamenti dei sistemi operativi" per ulteriori istruzioni e linee guida per Amazon Linux e Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE e Ubuntu.
Guida alle istanze PV
In seguito all'analisi dettagliata delle patch dei sistemi operativi disponibili per questa problematica e alle ricerche in corso, abbiamo determinato che le protezioni dei sistemi operativi non bastano per affrontare le problematiche tra i processi nelle istanze paravirtualizzate (PV). Anche se gli hypervisor di AWS proteggono le istanze PV da problematiche tra istanze, come descritto in precedenza, ai clienti che si preoccupano per l'isolamento del processo nelle istanze PV (ad es. dati non affidabili di processo, esecuzione di codici non affidabili, hosting di utenti non affidabili) consigliamo vivamente di migrare a tipi di istanza HVM per beneficiare di vantaggi a livello di sicurezza a lungo termine.
Per ulteriori informazioni sulle differenze tra PV e HVM (e per la documentazione sulle procedure di aggiornamento dell'istanza), consulta:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Se hai bisogno di assistenza con le procedure di aggiornamento di un'istanza PV, rivolgiti al Supporto.
Aggiornamenti relativi ad altri servizi AWS
I seguenti servizi che hanno richiesto l'applicazione delle patch di istanze EC2 gestite da parte dei clienti sono stati ultimati. Pertanto non è necessaria alcuna azione da parte del cliente:
- Fargate
- Lambda
Se non diversamente indicato di seguito, tutti gli altri servizi AWS non richiedono alcuna azione da parte del cliente.
AMI ottimizzata per ECS
Abbiamo rilasciato un'AMI ottimizzata per Amazon ECS, versione 2017,09.g, che incorpora tutte le protezioni esistenti per Amazon Linux relative a questa problematica. Consigliamo ai clienti Amazon ECS di eseguire l'upgrade alla versione più recente, disponibile nell'AWS Marketplace.
I clienti che desiderano effettuare l'upgrade delle istanze AMI ottimizzate per ECS esistenti sono invitati a eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:
sudo yum update kernel
Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio per rendere effettivi gli aggiornamenti.
Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di AMI, sistema operativo o software alternativo/di terze parti per aggiornamenti e istruzioni, qualora necessari. Le istruzioni su Amazon Linux, sono disponibili nella sezione Centro di sicurezza AMI Amazon Linux.
Abbiamo rilasciato un'AMI Windows ottimizzata per Amazon ECS, versione del 10/01/2018. Per maggiori dettagli su come applicare le patch alle istanze in esecuzione, consulta "L'esecuzione speculativa del processore: aggiornamenti dei sistemi operativi".
Elastic Beanstalk
Abbiamo aggiornato tutte le piattaforme basate su Linux per includere tutte le protezioni Amazon Linux per questa problematica. Per le versioni specifiche della piattaforma, consulta le note di rilascio. Consigliamo ai clienti di Elastic Beanstalk di eseguire l'upgrade degli ambienti alla versione della piattaforma più recente. Usando gli aggiornamenti gestiti, gli ambienti si aggiorneranno automaticamente nella finestra di manutenzione configurata.
Per includere tutte le protezioni Windows di EC2 per questa problematica, abbiamo aggiornato anche le piattaforme basate su Windows. Consigliamo ai clienti di aggiornare gli ambienti Elastic Beanstalk basati su Windows alla versione più recente della configurazione della piattaforma.
ElastiCache
I nodi delle cache dei clienti gestiti da ElastiCache sono dedicati solamente all'esecuzione del motore della cache per un singolo cliente. Gli altri processi non sono accessibili ai clienti e questi ultimi non possono eseguire codici su un'istanza sottostante. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a ElastiCache, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. Al momento i motori relativi alle cache supportati da ElastiCache non hanno riscontrato problematiche note tra processi.
EMR
Amazon EMR avvia cluster di istanze Amazon EC2 che eseguono Amazon Linux nell'account dei clienti per loro conto. Ai clienti che hanno a cuore l'isolamento del processo nelle istanze dei cluster di Amazon EMR si raccomanda caldamente di effettuare l'upgrade alla versione più recente del kernel di Amazon Linux, come indicato in precedenza. Abbiamo incorporato il kernel di Amazon Linux più recente nelle nuove versioni secondarie 5.11.1, 5.8.1, 5.5.1 e 4.9.3. I clienti possono creare nuovi cluster Amazon EMR con queste versioni.
Per le attuali versioni di Amazon EMR e per le istanze in esecuzione associate di cui i clienti potrebbero disporre, consigliamo di aggiornare il kernel di Amazon Linux alla versione più recente, come indicato sopra. Per i nuovi cluster, i clienti possono utilizzare un'operazione di bootstrap per aggiornare il kernel Linux e riavviare ogni istanza. Per i cluster in esecuzione, i clienti possono agevolare l'aggiornamento del kernel Linux e il riavvio di ogni istanza nel cluster in modalità sequenza. Tieni presente che il riavvio di alcuni processi potrebbe avere un impatto sulle applicazioni in esecuzione all'interno del cluster.
RDS
Le istanze dei database dei clienti gestite da RDS sono dedicate solamente all'esecuzione del motore del database per un singolo cliente. Non vi sono altri processi accessibili ai clienti e questi ultimi non possono eseguire codici su un'istanza sottostante. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a RDS, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. Al momento la maggior parte dei supporti RDS per motori di database non ha riscontrato problematiche tra processi. Di seguito puoi trovare ulteriori dettagli specifici sui motori di database. Se non diversamente specificato, non è richiesta alcuna azione da parte del cliente.
Per RDS per le istanze del database SQL Server, abbiamo rilasciato le patch del sistema operativo e del motore che contengono le patch di Microsoft nelle seguenti versioni del motore:
SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)
I clienti devono rivedere le linee guida di Microsoft sull'applicazione di queste patch e applicarle nel momento che preferiscono:
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
Per PostgreSQL di RDS e PostgreSQL di Aurora, al momento non è richiesta nessuna azione da parte del cliente in merito alle istanze DB in esecuzione nelle configurazioni predefinite. Forniremo le patch appropriate agli utenti delle estensioni plv8 non appena saranno disponibili. Nel frattempo, i clienti che hanno abilitato le estensioni plv8 (disabilitate per impostazione predefinita) dovrebbero considerarne la disabilitazione e riesaminare la guida di V8 alla pagina: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Non è richiesta alcuna azione da parte dei clienti per le istanze dei database RDS per MariaDB, RDS per MySQL, Aurora MySQL e RDS per Oracle.
VMware Cloud on AWS
Per VMware, "Le azioni correttive illustrate in VMSA-2018-0002 sono state presentate su VMware Cloud on AWS dall'inizio di dicembre 2017".
Per maggiori dettagli, consulta il blog sulla sicurezza e compliance di VMware, mentre per lo stato degli aggiornamenti visita la pagina https://status.vmware-services.io.
WorkSpaces
Per i clienti dell'esperienza Windows 7 su Windows Server 2008 R2:
Microsoft ha rilasciato nuovi aggiornamenti sulla sicurezza per Windows Server 2008 R2 su questa problematica. Per andare a buon fine, la distribuzione di questi aggiornamenti richiede un software antivirus compatibile in esecuzione sul server come illustrato nell'aggiornamento sulla sicurezza di Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. I clienti WorkSpace devono fare richiesta per disporre di questi aggiornamenti. Segui le istruzioni fornite da Microsoft alla pagina: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Per i clienti dell'esperienza Windows 10 su Windows Server 2016:
AWS ha applicato gli aggiornamenti sulla sicurezza a WorkSpace in esecuzione per l'esperienza Windows 10 su Windows Server 2016. Windows 10 dispone del software Windows Defender AntiVirus integrato, compatibile con questi aggiornamenti sulla sicurezza. Non è necessaria alcuna azione aggiuntiva da parte del cliente.
Per BYOL e per i clienti che hanno modificato le impostazioni di aggiornamento predefinite:
Tieni presente che i clienti che usano la funzionalità del modello di licenza Bring Your Own License (BYOL) di WorkSpace e i clienti che hanno modificato le impostazioni di aggiornamento predefinite in WorkSpace devono applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft. Se rientri in questa categoria, segui le istruzioni fornite dal Security Advisory di Microsoft alla pagina: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Il Security Advisory include i link agli articoli della knowledge base per i sistemi operativi di Windows Server e Client che forniscono ulteriori informazioni specifiche.
I bundle WorkSpace aggiornati saranno disponibili a breve con gli aggiornamenti sulla sicurezza. I clienti che hanno creato bundle personalizzati devono aggiornare autonomamente i propri bundle per includere gli aggiornamenti sulla sicurezza. Tutti i nuovi WorkSpace lanciati da bundle non aggiornati riceveranno le patch poco dopo il lancio, a meno che i clienti non abbiano modificato le impostazioni di aggiornamento predefinite in WorkSpace o installato un software antivirus non compatibile. In tal caso, i clienti devono seguire le istruzioni riportate in precedenza per applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.
WorkSpaces Application Manager (WAM)
Consigliamo ai clienti di scegliere uno dei seguenti metodi di risoluzione:
Opzione 1: applica manualmente gli aggiornamenti Microsoft sulle istanze in esecuzione di WAM Packager and Validator, seguendo i passaggi forniti da Microsoft alla pagina: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. In questa pagina troverai ulteriori istruzioni e i relativi download.
Opzione 2: termina le istanze Packager and Validator esistenti. Lancia le nuove istanze utilizzando le AMI aggiornate etichettate "Amazon WAM Admin Studio 1.5.1" e "Amazon WAM Admin Player 1.5.1".