Stai visualizzando una versione precedente del bollettino di sicurezza. Per visualizzare la versione più recente, visita: "Divulgazione della ricerca sull'esecuzione speculativa del processore".
Documento relativo a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aggiornamento del: 07/01/2018 11:30 PST
Si tratta di un aggiornamento relativo a questo problema.
Amazon EC2
Tutte le istanze dei parchi Amazon EC2 sono protette da tutti i vettori di minaccia noti dai CVE precedentemente elencati. Le istanze dei clienti sono protette da queste minacce da altre istanze. Non abbiamo riscontrato impatti significativi nelle prestazioni per la maggior parte dei carichi di lavoro EC2.
Azioni clienti consigliate per AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail
Consigliamo ai clienti di applicare patch ai sistemi operativi d'istanza, sebbene tutte le istanze cliente siano protette. Ciò rafforzerà le protezioni che questi sistemi operativi forniscono per isolare l'esecuzione del software all'interno della stessa istanza. Per ulteriori informazioni, consulta le linee guida specifiche del fornitore sulla disponibilità e distribuzione delle patch.
Linee guida specifiche del fornitore:
- Amazon Linux – Ulteriori dettagli di seguito.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Per sistemi operativi non elencati, i clienti dovrebbero consultare il proprio fornitore di sistema operativo o AMI per aggiornamenti e istruzioni.
Aggiornamenti relativi ad altri servizi AWS
AMI Amazon Linux (ID bollettino :ALAS-2018-939)
È disponibile un kernel aggiornato per Amazon Linux nei repository di Amazon Linux. Le istanze EC2 avviate con la configurazione predefinita di Amazon Linux a partire dal 3 gennaio 2018 alle 22:45 (GMT) includeranno automaticamente il pacchetto aggiornato. Per assicurarsi di ricevere il pacchetto aggiornato, i clienti con le istanze delle AMI di Amazon Linux esistenti devono eseguire il seguente comando:
sudo yum update kernel
Dopo aver completato l'aggiornamento yum è necessario un riavvio affinché gli aggiornamenti diventino effettivi.
Maggiori informazioni su questo bollettino sono disponibili nel Centro di sicurezza sulle AMI Amazon Linux.
EC2 Windows
Abbiamo aggiornato le AMI AWS Windows. Esse sono ora disponibili per i clienti, con le necessarie patch installate e le chiavi di registro abilitate.
Microsoft ha fornito patch Windows per i Server 2008R2, 2012R2 e 2016. Le patch sono disponibili tramite Windows Update Service for Server 2016 incorporato. Siamo in attesa di informazioni da parte di Microsoft sulla disponibilità di patch per Server 2003, 2008SP2 e 2012RTM.
I clienti AWS che eseguono istanze di Windows su EC2 con gli "Aggiornamenti automatici" abilitati devono eseguire gli aggiornamenti automatici per scaricare e installare l'aggiornamento necessario per Windows una volta che sia disponibile.
Le patch Server 2008R2 e 2012R2 non sono attualmente disponibili tramite Windows Update e richiedono il download manuale. Microsoft informa che queste patch saranno disponibili martedì 9 gennaio.
I clienti AWS che eseguono istanze di Windows su EC2 dove gli "Aggiornamenti automatici" non sono abilitati devono installare manualmente l'aggiornamento necessario non appena disponibile attenendosi alle istruzioni riportate qui: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Per Windows Server, Microsoft richiede ulteriori passaggi per abilitare le funzionalità di protezione dell'aggiornamento per questo problema, descritto qui: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI ottimizzata per ECS
Abbiamo rilasciato un'AMI ottimizzata per Amazon ECS, versione 2017.09.e, che incorpora tutte le protezioni esistenti per Amazon Linux relative a questa problematica. Consigliamo ai clienti Amazon ECS di eseguire l'upgrade alla versione più recente, disponibile nell'AWS Marketplace. I clienti che scelgono di aggiornare istanze esistenti locali devono eseguire il seguente comando su ogni istanza di container:
sudo yum update kernel
L'aggiornamento richiede un riavvio dell'istanza di container per essere completo
Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di AMI, sistema operativo o software alternativo/di terze parti per aggiornamenti e istruzioni, qualora necessari. Per le istruzioni su Amazon Linux, consulta la sezione Centro di sicurezza AMI Amazon Linux.
Un Microsoft Windows EC2 aggiornato e un'AMI ottimizzata per ECS saranno pubblicati quando le patch Microsoft saranno disponibili.
Elastic Beanstalk
Rilasceremo nuove versioni della piattaforma che includono l'aggiornamento del kernel per affrontare la problematica entro 48 ore. Per ambienti Linux, consigliamo di abilitare la funzione "aggiornamenti gestiti della piattaforma" per aggiornare automaticamente nella finestra di manutenzione scelta una volta che questi aggiornamenti sono disponibili. Pubblicheremo le istruzioni per gli ambienti Windows una volta che l'aggiornamento sarà disponibile.
AWS Fargate
A tutte le infrastrutture che eseguono compiti Fargate sono state applicate patch come indicato in precedenza e non è necessaria alcuna azione da parte del cliente.
Amazon FreeRTOS
Non ci sono aggiornamenti richiesti per o applicabili ad Amazon FreeRTOS e ai suoi processori ARM supportati.
AWS Lambda
A tutte le istanze che eseguono funzioni Lambda sono state applicate patch come indicato in precedenza e non è necessaria alcuna azione da parte del cliente.
RDS
Le istanze dei database dei clienti gestite da RDS sono dedicate solamente all'esecuzione del motore del database per un singolo cliente. I clienti non possono accedere ad altri processi e non possono eseguire codici su un'istanza sottostante. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a RDS, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. Al momento la maggior parte dei motori di database supportati da RDS non ha riscontrato problematiche note tra processi. Di seguito puoi trovare ulteriori dettagli specifici sui motori di database. Se non diversamente specificato, non è richiesta alcuna azione da parte del cliente. Aggiorneremo questo bollettino una volta che ulteriori informazioni saranno disponibili.
Al momento non è richiesta alcuna azione da parte dei clienti per le istanze dei database RDS per MariaDB, RDS per MySQL, Aurora MySQL e RDS for Oracle.
Per PostgreSQL di RDS e PostgreSQL di Aurora, al momento non è richiesta nessuna azione da parte del cliente in merito alle istanze DB in esecuzione nelle configurazioni predefinite. Forniremo le patch appropriate agli utenti delle estensioni plv8 non appena saranno disponibili. Nel frattempo, i clienti che hanno abilitato le estensioni plv8 (disabilitate per impostazione predefinita) dovrebbero considerarne la disabilitazione e riesaminare le linee guida di V8 alla pagina: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Per le istanze di database del server SQL per RDS, rilasceremo patch di motore di database e sistemi operativi, non appena resi disponibili da Microsoft, per consentire ai clienti di aggiornarli scegliendo un altro momento. Aggiorneremo il bollettino non appena uno di questi sarà completato. Nel frattempo, i clienti che hanno abilitato CLR (disabilitata per impostazione predefinita) devono riesaminare la guida di Microsoft sulla disabilitazione dell'estensione CLR alla pagina: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Per maggiori dettagli si rimanda all'avviso di sicurezza VMware: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
Nel corso del prossimo fine settimana, AWS applicherà gli aggiornamenti di sicurezza pubblicati da Microsoft alla maggior parte dei WorkSpace AWS. In tale lasso di tempo è da prevedere che i WorkSpace dei clienti subiranno un riavvio.
I clienti Bring Your Own License (BYOL) e i clienti che hanno modificato le impostazioni di aggiornamento predefinite in WorkSpace devono applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.
Segui le istruzioni fornite dal Security Advisory di Microsoft alla pagina: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. La consulenza sulla sicurezza include i link agli articoli della knowledge base per i sistemi operativi di Windows Server e Client che forniscono ulteriori informazioni specifiche.
I bundle WorkSpace aggiornati saranno disponibili a breve con gli aggiornamenti sulla sicurezza. I clienti che hanno creato bundle personalizzati devono aggiornare autonomamente i propri bundle per includere gli aggiornamenti sulla sicurezza. Ogni nuovo WorkSpace lanciato da bundle che non dispone degli aggiornamenti riceverà le patch poco dopo il lancio, a meno che i clienti non abbiano modificato le impostazioni di aggiornamento predefinite in WorkSpace. In tal caso, i clienti dovrebbero seguire le istruzioni riportate in precedenza per applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.
WorkSpaces Application Manager (WAM)
Consigliamo ai clienti di scegliere uno dei seguenti metodi di risoluzione:
Opzione 1: applica manualmente i patch Microsoft sulle istanze in esecuzione di WAM Packager and Validator, seguendo i passaggi forniti da Microsoft alla pagina: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. In questa pagina troverai ulteriori istruzioni e i relativi download per Windows Server.
Opzione 2: ricostruire nuove istanze EC2 WAM Packager e Validator esistenti a partire dalle AMI aggiornate per WAM Packager e Validator che saranno disponibili a fine giornata (2018/01/04).