Documento relativo a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Aggiornamento del: 05/03/2018, ore 15:00 PST

Si tratta di un aggiornamento per questo problema.

Un kernel aggiornato per Amazon Linux è disponibile all'interno dei repository di Amazon Linux. Le istanze EC2 lanciate con la configurazione predefinita di Amazon Linux in data 13 gennaio 2018 o successiva includeranno automaticamente il pacchetto aggiornato. Quest'ultimo incorpora le più recenti migliorie sulla sicurezza di Linux per open source stabili per instradare CVE-2017-5715 nel kernel e creare un Kernel Page Table Isolation (KPTI) incorporato in precedenza per instradare CVE.2017-5754. I clienti devono eseguire l'upgrade del kernel o dell'AMI alla versione Amazon Linux più recenti per limitare efficacemente i problemi tra processi di CVE-2017-5715 e i problemi tra processi e kernel di CVE-2017-5754 nelle relative istanze. Per ulteriori informazioni, consulta "L'esecuzione speculativa del processore: aggiornamenti dei sistemi operativi".

Consulta inoltre la sezione "Guida alle istanze PV" di seguito, relativa alle istanze paravirtualizzate (PV).

Amazon EC2

Tutte le istanze dei parchi Amazon EC2 sono protette dai problemi tra istanze noti di CVE-2017-5715, CVE-2017-5753 e CVE-2017-5754. I problemi tra istanze presuppongono che un'istanza vicina non affidabile potrebbe leggere la memoria di un'altra istanza o del hypervisor di AWS. Questa problematica può essere indirizzata agli hypervisor di AWS. In questo modo nessuna istanza può leggere la memoria di un altra istanza, né la memoria dell'hypervisor di AWS. Come già affermato in precedenza, non abbiamo riscontrato impatti significativi nelle prestazioni per la maggior parte dei carichi di lavoro EC2.

A partire dal 12 gennaio 2018, abbiamo ultimato la disattivazione delle porzioni del nuovo microcodice CPU Intel per le piattaforme in AWS che riscontravano un piccolo numero di arresti anomali e altri comportamenti imprevedibili causati dagli aggiornamenti del microcodice Intel. Questa modifica ha attenuato questi problemi per questo ristretto numero di istanze.

Azioni clienti consigliate per AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail

Anche se tutte le istanze cliente sono protette come illustrato in precedenza, consigliamo ai clienti di applicare la patch ai sistemi operativi delle istanze per indirizzare problemi tra processi o tra processi e kernel di questa problematica. Consulta "L'esecuzione speculativa del processore: aggiornamenti dei sistemi operativi" per ulteriori istruzioni e linee guida per Amazon Linux e Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE e Ubuntu.

Guida alle istanze PV

In seguito alle ricerche in corso e all'analisi dettagliata delle patch dei sistemi operativi disponibili per questa problematica, abbiamo determinato che le protezioni dei sistemi operativi non bastano per indirizzare le problematiche tra i processi nelle istanze paravirtualizzate (PV). Anche se gli hypervisor di AWS proteggono le istanze PV da problematiche tra istanze, come descritto in precedenza, ai clienti che si preoccupano per l'isolamento del processo nelle istanze PV (ad es. dati non affidabili di processo, esecuzione di codici non affidabili, hosting di utenti non affidabili) consigliamo vivamente di migrare a tipi di istanza HVM per beneficiare di vantaggi a livello di sicurezza a lungo termine.

Per ulteriori informazioni sulle differenze tra PV e HVM (e per la documentazione sulle procedure di aggiornamento dell'istanza), consulta:

https://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/virtualization_types.html

Se hai bisogno di assistenza con le procedure di aggiornamento di un'istanza PV, rivolgiti al supporto.

Aggiornamenti relativi ad altri servizi AWS

I seguenti servizi che hanno richiesto l'applicazione delle patch di istanze EC2 gestite da parte dei clienti sono stati ultimati. Pertanto non è necessaria alcuna azione da parte del cliente:

  • Fargate
  • Lambda

Se non diversamente indicato di seguito, tutti gli altri servizi AWS non richiedono alcuna azione da parte del cliente.

AMI ottimizzata per ECS

Abbiamo rilasciato un'AMI ottimizzata per Amazon ECS, versione 2017,09.g, che incorpora tutte le protezioni esistenti per Amazon Linux relative a questa problematica. Consigliamo ai clienti Amazon ECS di eseguire l'upgrade alla versione più recente, disponibile nell'AWS Marketplace.

I clienti che desiderano eseguire l'upgrade delle istanze AMI ottimizzate per ECS devono eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:

sudo yum update kernel

Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio per rendere effettivi gli aggiornamenti.

Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di sistema operativo, software o AMI alternativo/di terze parti per aggiornamenti e istruzioni, qualora necessari. Per le istruzioni su Amazon Linux, consulta la sezione Centro di sicurezza AMI Amazon Linux.

Abbiamo rilasciato un'AMI Windows ottimizzata per Amazon ECS, versione del 10/01/2018. Per maggiori dettagli su come applicare le patch alle istanze in esecuzione, consulta "L'esecuzione speculativa del processore: aggiornamenti dei sistemi operativi".

Elastic Beanstalk

Abbiamo aggiornato le piattaforme basate su Linux per includere tutte le protezioni Amazon Linux per questa problematica. Per le versioni specifiche della piattaforma, consulta le note di rilascio. Consigliamo ai clienti Elastic Beanstalk di eseguire l'upgrade degli ambienti alla versione della piattaforma più recente. Usando gli aggiornamenti gestiti, gli ambienti verranno automaticamente aggiornati nella finestra di manutenzione configurata.

Per includere tutte le protezioni Windows di EC2 per questa problematica, abbiamo aggiornato anche le piattaforme basate su Windows. Consigliamo ai clienti di aggiornare gli ambienti Elastic Beanstalk basati su Windows alla versione più recente della configurazione della piattaforma.

ElastiCache

I nodi di cache dei clienti gestiti da ElastiCache sono dedicati solamente all'esecuzione del motore cache per un singolo cliente. Non vi sono altri processi accessibili ai clienti e questi ultimi non possono eseguire codici su un'istanza di base. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a ElastiCache, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. I motori cache supportati da ElastiCache non hanno riscontrato al momento problematiche tra processi.

EMR

Amazon EMR avvia cluster di istanze Amazon EC2 che eseguono Amazon Linux nell'account dei clienti per loro conto. Ai clienti che si preoccupano dell'isolamento del processo nelle istanze dei cluster di Amazon EMR si raccomanda di eseguire l'upgrade alla versione più recente del kernel di Amazon Linux, come indicato in precedenza. Abbiamo incorporato il kernel di Amazon Linux più recente nelle nuove versioni secondarie 5.11.1, 5.8.1, 5.5.1 e 4.9.3. I clienti possono creare nuovi cluster Amazon EMR con queste versioni.

Per le attuali versioni di Amazon EMR e per le istanze in esecuzione associate di cui i clienti potrebbero disporre, consigliamo di aggiornare il kernel di Amazon Linux alla versione più recente, come indicato sopra. Per i nuovi cluster, i clienti possono utilizzare un'operazione di bootstrap per aggiornare il kernel Linux e riavviare ogni istanza. Per i cluster in esecuzione, i clienti possono agevolare l'aggiornamento del kernel Linux e il riavvio di ogni istanza nel cluster in modalità sequenza. Tieni presente che il riavvio di alcuni processi potrebbe avere un impatto sulle applicazioni in esecuzione all'interno del cluster.

RDS

Le istanze dei database dei clienti gestite da RDS sono dedicate solamente all'esecuzione del motore del database per un singolo cliente. Non vi sono altri processi accessibili ai clienti e questi ultimi non possono eseguire codici su un'istanza di base. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a RDS, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. La maggior parte dei motori di database supportati da RDS non hanno riscontrato al momento problematiche tra processi. Di seguito puoi trovare ulteriori dettagli specifici sui motori di database. Se non diversamente specificato, non è richiesta alcuna azione da parte del cliente.

Per RDS per le istanze del database SQL Server, abbiamo rilasciato le patch del sistema operativo e del motore che contengono le patch di Microsoft nelle seguenti versioni del motore:

SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)

I clienti devono rivedere le linee guida di Microsoft sull'applicazione di queste patch e applicarle nel momento che preferiscono:

https://support.microsoft.com/it-it/help/4073225/guidance-protect-sql-server-against-spectre-meltdown

Per PostgreSQL di RDS e PostgreSQL di Aurora, al momento non è richiesta nessuna azione da parte del cliente in merito alle istanze DB in esecuzione nelle configurazioni predefinite. Forniremo le patch appropriate agli utenti delle estensioni plv8 non appena saranno disponibili. Nel frattempo, i clienti che hanno abilitato le estensioni plv8 (disabilitate per impostazione predefinita) dovrebbero considerarne la disabilitazione e riesaminare le guida di V8 alla pagina: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Non è richiesta alcuna azione da parte dei clienti per le istanze dei database RDS per MariaDB, RDS per MySQL, Aurora MySQL e RDS per Oracle.

VMware Cloud on AWS

Per VMware, "Le azioni correttive illustrate in VMSA-2018-0002 sono state presentate su VMware Cloud on AWS dall'inizio di dicembre 2017."

Per maggiori dettagli, consulta il blog sulla sicurezza e compliance di VMware, mentre per lo stato degli aggiornamenti visita la pagina https://status.vmware-services.io.

WorkSpaces

Per i clienti dell'esperienza Windows 7 su Windows Server 2008 R2:

Per questa problematica, Microsoft ha rilasciato nuovi aggiornamenti sulla sicurezza per Windows Server 2008 R2. Per la corretta distribuzione di questi aggiornamenti è richiesto un software antivirus compatibile in esecuzione sul server come illustrato nell'aggiornamento sulla sicurezza di Microsoft: https://support.microsoft.com/it-it/help/4072699/windows-security-updates-and-antivirus-software. I clienti WorkSpace devono intervenire per ottenere questi aggiornamenti. Segui le istruzioni fornite da Microsoft alla pagina: https://support.microsoft.com/it-it/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities

Per i clienti dell'esperienza Windows 10 su Windows Server 2016:

AWS ha applicato gli aggiornamenti sulla sicurezza a WorkSpace in esecuzione per l'esperienza Windows 10 su Windows Server 2016. Windows 10 dispone del software Windows Defender AntiVirus integrato, compatibile con questi aggiornamenti sulla sicurezza. Non è necessaria alcuna azione da parte del cliente.

Per BYOL e i clienti che dispongono di impostazioni aggiornate predefinite modificate:

Tieni presente che i clienti che usano la funzionalità del modello di licenza Bring Your Own License (BYOL) di WorkSpace e i clienti che hanno modificato le impostazioni di aggiornamento predefinite in WorkSpace devono applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft. Se rientri in questa categoria, segui le istruzioni fornite dal Security Advisory di Microsoft alla pagina: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. La consulenza sulla sicurezza include i link agli articoli della knowledge base per i sistemi operativi di Windows Server e Client che forniscono ulteriori informazioni specifiche.

I bundle WorkSpace aggiornati saranno disponibili a breve con gli aggiornamenti sulla sicurezza. I clienti che hanno creato bundle personalizzati devono aggiornare autonomamente i propri bundle per includere gli aggiornamenti sulla sicurezza. Ogni nuovo WorkSpace lanciato da bundle che non dispone degli aggiornamenti riceverà le patch poco dopo il lancio, a meno che i clienti non abbiano modificato le impostazioni di aggiornamento predefinite in WorkSpace o installato un software antivirus non compatibile. In tal caso, i clienti devono seguire le istruzioni riportate in precedenza per applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.

WorkSpaces Application Manager (WAM)

Consigliamo ai clienti di scegliere uno dei seguenti metodi di risoluzione:

Opzione 1: applica manualmente gli aggiornamenti Microsoft sulle istanze in esecuzione di WAM Packager and Validator, seguendo i passaggi forniti da Microsoft alla pagina: https://support.microsoft.com/it-it/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities. In questa pagina troverai ulteriori istruzioni e i relativi download.

Opzione 2: termina le istanze Packager and Validator esistenti. Lancia le nuove istanze utilizzando le AMI aggiornate etichettate "Amazon WAM Admin Studio 1.5.1" e "Amazon WAM Admin Player 1.5.1".