Stai visualizzando una versione precedente del bollettino di sicurezza. Per visualizzare la versione più recente, visita: "Divulgazione della ricerca sull'esecuzione speculativa del processore".

Documento relativo a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Aggiornamento del: 12/01/2018 17:00 PST

Si tratta di un aggiornamento per questo problema.

Un è disponibile secondo kernel per Amazon Linux; risolve i bug KPTI e migliora la mitigazione per CVE-2017-5754. I clienti devono eseguire l'upgrade del kernel o dell'AMI di Amazon Linux alla versione più recente per limitare efficacemente i problemi tra processi di CVE-2017-5754 nella relativa istanza. Vedi le informazioni su “AMI Amazon Linux” in seguito.  

Consulta inoltre la sezione "Guida alle istanze PV" di seguito, relativa alle istanze paravirtualizzate (PV).

Amazon EC2

Tutte le istanze dei parchi Amazon EC2 sono protette dai problemi tra istanze noti dai CVE precedentemente elencati. I problemi tra istanze presuppongono che un'istanza vicina non affidabile potrebbe leggere la memoria di un'altra istanza o dell’hypervisor di AWS. Questa problematica può essere indirizzata agli hypervisor di AWS. In questo modo nessuna istanza può leggere la memoria di un altra istanza, né la memoria dell'hypervisor di AWS. Come affermato in precedenza, non abbiamo riscontrato impatti significativi nelle prestazioni per la maggior parte dei carichi di lavoro EC2.

Abbiamo identificato un numero ridotto di istanze e crash delle applicazioni causati dagli aggiornamenti del microcodice Intel e stiamo cooperando direttamente con i clienti interessati. Abbiamo recentemente ultimato la disattivazione delle porzioni del nuovo microcodice CPU Intel per le piattaforme in AWS che riscontravano queste problematiche. Pare che questo abbia limitato le problematiche in queste istanze. Tutte le istanze della flotta Amazon EC2 sono protette da tutti i vettori di minaccia noti. Il microcodice Intel disabilitato ha fornito ulteriore protezione da vettori di minaccia teorici da problema CVE-2017-5715. Ci aspettiamo di riattivare a breve queste protezioni aggiuntive (insieme ad alcune ulteriori ottimizzazioni delle prestazioni a cui stiamo lavorando), non appena Intel ci fornirà il microcodice aggiornato.

Azioni clienti consigliate per AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail

Anche se tutte le istanze cliente sono protette come illustrato in precedenza, consigliamo ai clienti di applicare la patch ai sistemi operativi delle istanze per isolare l'esecuzione del software all'interno della stessa istanza e mitigare problemi tra processi di CVE-2017-5754. Per ulteriori informazioni, consulta le linee guida specifiche del fornitore sulla disponibilità e distribuzione delle patch.

Linee guida specifiche del fornitore:

Per sistemi operativi non elencati, i clienti dovrebbero consultare il proprio fornitore di sistema operativo o AMI per aggiornamenti e istruzioni.

Guida alle istanze PV

In seguito alle ricerche in corso e all'analisi dettagliata delle patch dei sistemi operativi disponibili per questa problematica, abbiamo determinato che le protezioni dei sistemi operativi non bastano per indirizzare le problematiche tra i processi nelle istanze paravirtualizzate (PV). Anche se gli hypervisor di AWS proteggono le istanze PV da problematiche tra istanze, come descritto in precedenza, ai clienti che si preoccupano per l'isolamento del processo nelle istanze PV (ad es. dati non affidabili di processo, esecuzione di codici non affidabili, hosting di utenti non affidabili) consigliamo vivamente di migrare a tipi di istanza HVM per beneficiare di vantaggi a livello di sicurezza a lungo termine.

Per ulteriori informazioni sulle differenze tra PV e HVM (e per la documentazione sulle procedure di aggiornamento dell'istanza), consulta:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Se hai bisogno di assistenza con le procedure di aggiornamento di un'istanza PV, rivolgiti al supporto.

Aggiornamenti relativi ad altri servizi AWS

I seguenti servizi che hanno richiesto l'applicazione delle patch di istanze EC2 gestite da parte dei clienti sono stati ultimati. Pertanto non è necessaria alcuna azione da parte del cliente:

  • Fargate
  • Lambda

Se non diversamente indicato di seguito, tutti gli altri servizi AWS non richiedono alcuna azione da parte del cliente.

AMI Amazon Linux (ID bollettino :ALAS-2018-939)

Un kernel aggiornato per Amazon Linux è disponibile all'interno dei repository di Amazon Linux. Le istanze EC2 avviate con la configurazione predefinita di Amazon Linux a partire dall’8 gennaio 2018 includeranno automaticamente il pacchetto aggiornato, che affronta i bug KPTI e migliora la mitigazione per CVE-2017-5754.

NOTA: i clienti devono eseguire l'upgrade del kernel o dell'AMI di Amazon Linux alla versione più recente per limitare efficacemente CVE-2017-5754 nella relativa istanza. Continueremo a fornire miglioramenti per Amazon Linux e AMI Amazon Linux aggiornate, incorporando il contributo della community open source di Linux che risolve questo problema, non appena vengono resi disponibili.

I clienti con istanze preesistenti delle AMI Amazon Linux AMI sono invitati a eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:

sudo yum update kernel

Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio affinché gli aggiornamenti diventino effettivi.

Maggiori informazioni su questo bollettino sono disponibili nel Centro di sicurezza sulle AMI Amazon Linux.

Per Amazon Linux 2, segui le istruzioni per Amazon Linux riportate sopra.

EC2 Windows

Abbiamo aggiornato le AMI AWS Windows. Esse sono ora disponibili per i clienti, con le necessarie patch installate e le chiavi di registro abilitate.

Microsoft ha fornito patch Windows per i Server 2008R2, 2012R2 and 2016. Le patch sono disponibili tramite Windows Update Service for Server 2016 incorporato. Siamo in attesa di informazioni da parte di Microsoft sulla disponibilità di patch per Server 2003, 2008SP2 e 2012RTM.

I clienti AWS che eseguono istanze di Windows su EC2 con gli “Aggiornamenti automatici” abilitati devono eseguire gli aggiornamenti automatici per scaricare e installare l’aggiornamento necessario per Windows una volta che sia disponibile.

Le patch Server 2008R2 e 2012R2 non sono attualmente disponibili tramite Windows Update e richiedono il download manuale. Microsoft aveva precedentemente informato che queste patch sarebbero state disponibili martedì 9 gennaio; siamo tuttavia ancora in attesa di informazioni sulla loro disponibilità.

I clienti AWS che eseguono istanze di Windows su EC2 dove gli “Aggiornamenti automatici” non sono abilitati devono installare manualmente l’aggiornamento necessario non appena disponibile attenendosi alle istruzioni riportate qui: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Per Windows Server, Microsoft richiede ulteriori passaggi per abilitare le funzionalità di protezione dell’aggiornamento per questo problema, descritto qui: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI ottimizzata per ECS

Abbiamo pubblicato un'AMI ottimizzata per Amazon ECS, versione 2017.09.f che incorpora tutte le protezioni di Amazon Linux per questa problematica, incluso il secondo aggiornamento del kernel di Amazon Linux precedentemente citato. Consigliamo ai clienti Amazon ECS di eseguire l'upgrade alla versione più recente, disponibile nell'AWS Marketplace. Continueremo a incorporare le migliorie di Amazon Linux, non appena saranno disponibili.

I clienti che desiderano eseguire l'upgrade delle istanze AMI ottimizzate per ECS esistenti devono eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:

sudo yum update kernel

Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio per rendere effettivi gli aggiornamenti.

Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di sistema operativo, software o AMI alternativo/di terze parti per aggiornamenti e istruzioni, qualora necessari. Per le istruzioni su Amazon Linux, consulta la sezione Centro di sicurezza AMI Amazon Linux.

L'AMI Windows ottimizzata per Amazon ECS è in corso di aggiornamento e aggiorneremo il bollettino non appena sarà disponibile. Microsoft ha fornito patch Windows per il Server 2016. Per informazioni dettagliate su come applicare le patch alle istanze in esecuzione, consulta https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Elastic Beanstalk

Abbiamo aggiornato le piattaforme basate su Linux per includere tutte le protezioni Amazon Linux per questa problematica. Per le versioni specifiche della piattaforma, consulta le note di rilascio. Consigliamo ai clienti Elastic Beanstalk di eseguire l'upgrade degli ambienti alla versione della piattaforma più recente. Usando gli aggiornamenti gestiti, gli ambienti verranno automaticamente aggiornati nella finestra di manutenzione configurata.

Per includere tutte le protezioni Windows di EC2 per questa problematica, abbiamo aggiornato anche le piattaforme basate su Windows. Consigliamo ai clienti di aggiornare gli ambienti Elastic Beanstalk basati su Windows alla versione più recente della configurazione della piattaforma.

EMR

Amazon EMR avvia cluster di istanze Amazon EC2 che eseguono Amazon Linux nell'account dei clienti per loro conto. Ai clienti che si preoccupano dell'isolamento del processo nelle istanze dei cluster di Amazon EMR si raccomanda di eseguire l'upgrade alla versione più recente del kernel di Amazon Linux, come indicato in precedenza. Stiamo incorporando il kernel di Amazon Linux più recente in una nuova versione secondaria per i rami 5.11.x e 4.9.x. I clienti potranno creare nuovi cluster Amazon EMR con queste versioni. Aggiorneremo il bollettino non appena queste versioni saranno disponibili.

Per le attuali versioni di Amazon EMR e per le istanze in esecuzione associate di cui i clienti potrebbero disporre, consigliamo di aggiornare il kernel di Amazon Linux alla versione più recente, come indicato sopra. Per i nuovi cluster, i clienti possono utilizzare un'operazione di bootstrap per aggiornare il kernel Linux e riavviare ogni istanza. Per i cluster in esecuzione, i clienti possono agevolare l'aggiornamento del kernel Linux e il riavvio di ogni istanza nel cluster in modalità sequenza. Tieni presente che il riavvio di alcuni processi potrebbe avere un impatto sulle applicazioni in esecuzione all'interno del cluster.

RDS

Le istanze dei database dei clienti gestite da RDS sono dedicate solamente all'esecuzione del motore del database per un singolo cliente. Non vi sono altri processi accessibili ai clienti e questi ultimi non possono eseguire codici su un'istanza di base. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a RDS, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. La maggior parte dei motori di database supportati da RDS non hanno riscontrato al momento problematiche tra processi. Di seguito puoi trovare ulteriori dettagli specifici sui motori di database. Se non diversamente specificato, non è richiesta alcuna azione da parte del cliente. Aggiorneremo questo bollettino una volta che ulteriori informazioni saranno disponibili.

Per le istanze di database del server SQL per RDS, rilasceremo patch di motore di database e sistemi operativi, non appena resi disponibili da Microsoft, per consentire ai clienti di aggiornarli scegliendo un altro momento. Aggiorneremo il bollettino non appena uno di questi sarà completato. Nel frattempo, i clienti che hanno abilitato CLR (disabilitata per impostazione predefinita) devono riesaminare la guida di Microsoft sulla disabilitazione dell'estensione CLR alla pagina: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

Per PostgreSQL di RDS e PostgreSQL di Aurora, al momento non è richiesta nessuna azione da parte del cliente in merito alle istanze DB in esecuzione nelle configurazioni predefinite. Forniremo le patch appropriate agli utenti delle estensioni plv8 non appena saranno disponibili. Nel frattempo, i clienti che hanno abilitato le estensioni plv8 (disabilitate per impostazione predefinita) dovrebbero considerarne la disabilitazione e riesaminare le guida di V8 alla pagina: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Non è richiesta alcuna azione da parte dei clienti per le istanze dei database RDS per MariaDB, RDS per MySQL, Aurora MySQL e RDS per Oracle.

VMware Cloud on AWS

Per VMware, "Le azioni correttive illustrate in VMSA-2018-0002 sono state presentate su VMware Cloud on AWS dall'inizio di dicembre 2017."

Per maggiori dettagli, consulta il blog sulla sicurezza e compliance di VMware, mentre per lo stato degli aggiornamenti visita la pagina https://status.vmware-services.io.

WorkSpaces

Nel corso del prossimo fine settimana, AWS applicherà gli aggiornamenti di sicurezza pubblicati da Microsoft alla maggior parte dei WorkSpace AWS. In tale lasso di tempo è da prevedere che i WorkSpace dei clienti subiranno un riavvio.

I clienti Bring Your Own License (BYOL) e i clienti che hanno modificato le impostazioni di aggiornamento predefinite in WorkSpace devono applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.

Segui le istruzioni fornite dal Security Advisory di Microsoft alla pagina: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. La consulenza sulla sicurezza include i link agli articoli della knowledge base per i sistemi operativi di Windows Server e Client che forniscono ulteriori informazioni specifiche.

I bundle WorkSpace aggiornati saranno disponibili a breve con gli aggiornamenti sulla sicurezza. I clienti che hanno creato bundle personalizzati devono aggiornare autonomamente i propri bundle per includere gli aggiornamenti sulla sicurezza. Ogni nuovo WorkSpace lanciato da bundle che non dispone degli aggiornamenti riceverà le patch poco dopo il lancio, a meno che i clienti non abbiano modificato le impostazioni di aggiornamento predefinite in WorkSpace. In tal caso, i clienti dovrebbero seguire le istruzioni riportate in precedenza per applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.

WorkSpaces Application Manager (WAM)

Consigliamo ai clienti di scegliere uno dei seguenti metodi di risoluzione:

Opzione 1: applica manualmente i patch Microsoft sulle istanze in esecuzione di WAM Packager and Validator, seguendo i passaggi forniti da Microsoft alla pagina: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. In questa pagina troverai ulteriori istruzioni e i relativi download per Windows Server.

Opzione 2: ricostruire nuove istanze EC2 WAM Packager e Validator esistenti a partire dalle AMI aggiornate per WAM Packager e Validator che saranno disponibili a fine giornata (2018/01/04).