Stai visualizzando una versione precedente del bollettino di sicurezza. Per visualizzare la versione più recente, visita: "Divulgazione della ricerca sull'esecuzione speculativa del processore".
Relativo a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aggiornamento del: 08/01/2018 14:25 PST
Si tratta di un aggiornamento per questo problema.
Amazon EC2
Tutte le istanze dei parchi di Amazon EC2 sono protette da tutti i vettori di minaccia noti dei CVE precedentemente elencati. Le istanze dei clienti sono protette da queste minacce da altre istanze. Non abbiamo riscontrato impatti significativi nelle prestazioni per la stragrande maggioranza dei carichi di lavoro EC2.
Azioni clienti consigliate per AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, e Amazon Lightsail
Consigliamo ai clienti di applicare patch ai sistemi operativi d'istanza, quando tutte le istanze cliente sono protette. Ciò rafforzerà le protezioni che questi sistemi operativi forniscono per isolare l'esecuzione del software all'interno della stessa istanza. Per ulteriori informazioni, consulta le linee guida specifiche del fornitore sulla disponibilità e distribuzione delle patch.
Linee guida specifiche del fornitore:
- Amazon Linux – ulteriori informazioni di seguito.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Per aggiornamenti e istruzioni sui sistemi operativi non elencati, i clienti dovrebbero consultare il proprio fornitore di sistema operativo o AMI.
Aggiornamenti relativi ad altri servizi AWS
AMI Amazon Linux (ID bollettino :ALAS-2018-939)
È disponibile un kernel aggiornato per Amazon Linux nei repository di Amazon Linux. Le istanze EC2 avviate con la configurazione predefinita di Amazon Linux a partire dal 3 gennaio 2018 alle 22:45 (GMT) includeranno automaticamente il pacchetto aggiornato. I clienti con istanze preesistenti delle AMI Amazon Linux sono invitati a eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:
sudo yum update kernel
Dopo aver completato l'aggiornamento yum è necessario un riavvio affinché gli aggiornamenti diventino effettivi.
Maggiori informazioni su questo bollettino sono disponibili nel Centro di sicurezza sulle AMI Amazon Linux.
EC2 Windows
Abbiamo aggiornato le AMI AWS Windows. Esse sono ora disponibili per i clienti, con le necessarie patch installate e le chiavi di registro abilitate.
Microsoft ha fornito patch Windows per i Server 2008R2, 2012R2 e 2016. Le patch sono disponibili tramite Windows Update Service incorporato per Server 2016. Siamo in attesa di informazioni da parte di Microsoft sulla disponibilità di patch per Server 2003, 2008SP2 e 2012RTM.
I clienti AWS che eseguono istanze di Windows su EC2 con gli "Aggiornamenti automatici" abilitati devono eseguire gli aggiornamenti automatici per scaricare e installare l'aggiornamento necessario per Windows una volta disponibile.
Le patch Server 2008R2 e 2012R2 non sono attualmente disponibili tramite Windows Update e richiedono il download manuale. Microsoft informa che queste patch saranno disponibili martedì 9 gennaio.
I clienti AWS che eseguono istanze di Windows su EC2 dove gli "Aggiornamenti automatici" non sono abilitati devono installare manualmente l'aggiornamento necessario non appena disponibile attenendosi alle istruzioni riportate qui: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Per Windows Server, Microsoft richiede ulteriori passaggi per abilitare le funzionalità di protezione dell'aggiornamento per questo problema, descritto qui: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI ottimizzata per ECS
Abbiamo rilasciato un'AMI ottimizzata per Amazon ECS, versione 2017.09.e, che incorpora tutte le protezioni esistenti per Amazon Linux relative a questa problematica. Consigliamo a tutti i clienti Amazon ECS di eseguire l'upgrade alla versione più recente, disponibile nell'AWS Marketplace. I clienti che scelgono di aggiornare istanze esistenti locali dovrebbero eseguire il seguente comando su ogni istanza di container:
sudo yum update kernel
L'aggiornamento richiede un riavvio dell'istanza di container per essere completo
Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di AMI, sistema operativo o software alternativo/di terze parti per aggiornamenti e istruzioni, qualora necessari. Le istruzioni su Amazon Linux, sono disponibili nella sezione Centro di sicurezza AMI Amazon Linux.
Un Microsoft Windows EC2 aggiornato e un'AMI ottimizzata per ECS saranno pubblicati quando le patch Microsoft saranno disponibili.
Elastic Beanstalk
Abbiamo aggiornato tutte le piattaforme basate su Linux per includere le protezioni iniziali Amazon Linux per questa problematica. Per le versioni specifiche della piattaforma, consulta le note di rilascio. Si invitano i clienti ad aggiornare i propri ambienti. Usando gli aggiornamenti gestiti, gli ambienti verranno automaticamente aggiornati nella finestra di manutenzione configurata.
Il team di Elastic Beanstalk continua a lavorare sugli aggiornamenti della piattaforma Windows. Ai clienti di Elastic Beanstalk, che utilizzano piattaforme basate su Windows, si consiglia di installare manualmente gli aggiornamenti di sicurezza disponibili utilizzando le istruzioni nella precedente sezione "EC2 Windows" di questo bollettino.
AWS Fargate
A tutte le infrastrutture che eseguono compiti Fargate sono state applicate patch come indicato in precedenza. Pertanto non è necessaria alcuna azione da parte del cliente.
Amazon FreeRTOS
Non ci sono aggiornamenti richiesti per o applicabili ad Amazon FreeRTOS e i suoi processori ARM supportati.
AWS Lambda
A tutte le istanze che eseguono funzioni Lambda sono state applicate patch come indicato in precedenza. Pertanto non è necessaria alcuna azione da parte del cliente.
RDS
Le istanze dei database dei clienti gestite da RDS sono dedicate solamente all'esecuzione del motore del database per un singolo cliente. Non vi sono altri processi accessibili ai clienti e questi ultimi non possono eseguire codici su un'istanza sottostante. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a RDS, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. Al momento la maggior parte dei supporti RDS per motori di database non ha riscontrato problematiche tra processi. Di seguito puoi trovare ulteriori dettagli specifici sui motori di database. Se non diversamente specificato, non è richiesta alcuna azione da parte del cliente. Aggiorneremo questo bollettino una volta che ulteriori informazioni saranno disponibili.
Non è richiesta alcuna azione da parte dei clienti per le istanze dei database RDS per MariaDB, RDS per MySQL, Aurora MySQL e RDS per Oracle.
Per PostgreSQL di RDS e PostgreSQL di Aurora, al momento non è richiesta nessuna azione da parte del cliente in merito alle istanze DB in esecuzione nella configurazione predefinita. Forniremo le patch appropriate agli utenti delle estensioni plv8 non appena saranno disponibili. Nel frattempo, i clienti che hanno abilitato le estensioni plv8 (disabilitate per impostazione predefinita) dovrebbero considerarne la disabilitazione e riesaminare la guida di V8 alla pagina: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Per le istanze di database del server SQL per RDS, rilasceremo patch di motore di database e sistemi operativi, non appena resi disponibili da Microsoft, per consentire ai clienti di aggiornarli scegliendo un altro momento. Aggiorneremo il bollettino non appena uno di questi sarà completato. Nel frattempo, i clienti che hanno abilitato CLR (disabilitata per impostazione predefinita) dovrebbero riesaminare la guida di Microsoft sulla disabilitazione dell'estensione CLR alla pagina: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Per maggiori dettagli si rimanda all'avviso di sicurezza VMware: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
Nel corso del prossimo fine settimana, AWS applicherà gli aggiornamenti di sicurezza pubblicati da Microsoft alla maggior parte dei WorkSpace AWS. In tale lasso di tempo è da prevedere che i WorkSpace dei clienti subiranno un riavvio.
I clienti Bring Your Own License (BYOL) e i clienti che hanno modificato le impostazioni di aggiornamento predefinite in WorkSpace devono applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.
Segui le istruzioni fornite dall'avviso di sicurezza di Microsoft alla pagina: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. L'avviso di sicurezza include i link agli articoli knowledge base per i sistemi operativi di Windows Server e Windows Client che forniscono ulteriori informazioni specifiche.
I bundle WorkSpace aggiornati saranno disponibili a breve con gli aggiornamenti sulla sicurezza. I clienti che hanno creato bundle personalizzati devono aggiornare autonomamente i propri bundle per includere gli aggiornamenti sulla sicurezza. Ogni nuovo WorkSpace lanciato da bundle che non dispone degli aggiornamenti riceverà le patch poco dopo il lancio, a meno che i clienti non abbiano modificato le impostazioni di aggiornamento predefinite in WorkSpace. In tal caso, i clienti dovrebbero seguire le istruzioni riportate in precedenza per applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.
Amazon WorkSpaces Application Manager (WAM)
Consigliamo ai clienti di scegliere uno dei seguenti metodi di risoluzione:
Opzione 1: applicare manualmente le patch Microsoft alle istanze in esecuzione di WAM Packager and Validator, seguendo i passaggi forniti da Microsoft alla pagina: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Su questa pagina troverai ulteriori istruzioni e i relativi download per Windows Server.
Opzione 2: ricostruire nuove istanze EC2 WAM Packager and Validator a partire dalle AMI aggiornate per WAM Packager and Validator che saranno disponibili a fine giornata (04/01/2018).