Stai visualizzando una versione precedente del bollettino di sicurezza. Per visualizzare la versione più recente, visita: "Divulgazione della ricerca sull'esecuzione speculativa del processore".
Relativo a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Aggiornamento del: 09/01/2018 19:10 PST
Si tratta di un aggiornamento per questo problema.
Una seconda versione kernel è disponibile per Amazon Linux; risolve i bug KPTI e migliora le limitazioni per CVE-2017-5754. I clienti devono eseguire l'upgrade del kernel o dell'AMI Amazon Linux alla versione più recente per limitare efficacemente i problemi tra processi di CVE-2017-5754 nella relativa istanza. Vedi le informazioni su "AMI Amazon Linux" di seguito.
Consulta inoltre la sezione "Guida alle istanze PV" di seguito, relativa alle istanze paravirtualizzate (PV).
Amazon EC2
Tutte le istanze dei parchi di Amazon EC2 sono protette dai problemi tra istanze noti dei CVE precedentemente elencati. I problemi tra istanze presuppongono che un'istanza vicina non affidabile potrebbe leggere la memoria di un'altra istanza o dell'hypervisor di AWS. Questa problematica è stata affrontata per gli hypervisor di AWS. Nessuna istanza può leggere la memoria di un altra istanza, né la memoria dell'hypervisor di AWS. Non abbiamo riscontrato impatti significativi nelle prestazioni per la stragrande maggioranza dei carichi di lavoro EC2.
Azioni clienti consigliate per AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, e Amazon Lightsail
Anche se tutte le istanze cliente sono protette come illustrato in precedenza, consigliamo ai clienti di applicare la patch ai sistemi operativi delle istanze per isolare l'esecuzione del software all'interno della stessa istanza e limitare i problemi tra processi di CVE-2017-5754. Per ulteriori informazioni, consulta le linee guida specifiche del fornitore sulla disponibilità e distribuzione delle patch.
Linee guida specifiche del fornitore:
- Amazon Linux – ulteriori informazioni di seguito.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Per aggiornamenti e istruzioni sui sistemi operativi non elencati, i clienti dovrebbero consultare il proprio fornitore di sistema operativo o AMI.
Guida alle istanze PV
In seguito all'analisi dettagliata delle patch dei sistemi operativi disponibili per questa problematica e alle ricerche in corso, abbiamo determinato che le protezioni dei sistemi operativi non bastano per affrontare le problematiche tra i processi nelle istanze paravirtualizzate (PV). Anche se gli hypervisor di AWS proteggono le istanze PV da problematiche tra istanze, come descritto in precedenza, ai clienti che si preoccupano per l'isolamento del processo nelle istanze PV (ad es. dati non affidabili di processo, esecuzione di codici non affidabili, hosting di utenti non affidabili) consigliamo vivamente di migrare a tipi di istanza HVM per beneficiare di vantaggi a livello di sicurezza a lungo termine.
Per ulteriori informazioni sulle differenze tra PV e HVM (e per la documentazione sulle procedure di aggiornamento dell'istanza), consulta:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Se hai bisogno di assistenza con le procedure di aggiornamento di un'istanza PV, rivolgiti al Supporto.
Aggiornamenti relativi ad altri servizi AWS
I seguenti servizi che hanno richiesto l'applicazione delle patch di istanze EC2 gestite da parte dei clienti sono stati ultimati. Pertanto non è necessaria alcuna azione da parte del cliente:
- Fargate
- Lambda
Se non diversamente indicato di seguito, tutti gli altri servizi AWS non richiedono alcuna azione da parte del cliente.
AMI Amazon Linux (ID bollettino :ALAS-2018-939)
È disponibile un kernel aggiornato per Amazon Linux nei repository di Amazon Linux. Le istanze EC2 avviate con la configurazione predefinita di Amazon Linux a partire dall'8 gennaio 2018 includeranno automaticamente il pacchetto aggiornato, che affronta i bug KPTI e migliora la limitazione per CVE-2017-5754.
NOTA: i clienti devono eseguire l'upgrade del kernel o dell'AMI Amazon Linux alla versione più recente per limitare efficacemente CVE-2017-5754 nella relativa istanza. Continueremo a fornire miglioramenti per Amazon Linux e AMI Amazon Linux aggiornate, incorporando il contributo della community open source di Linux che risolve questo problema, non appena viene reso disponibile.
I clienti con istanze preesistenti delle AMI Amazon Linux sono invitati a eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:
sudo yum update kernel
Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio affinché gli aggiornamenti diventino effettivi.
Maggiori informazioni su questo bollettino sono disponibili nel Centro di sicurezza sulle AMI Amazon Linux.
Per Amazon Linux 2, segui le istruzioni per Amazon Linux riportate sopra.
EC2 Windows
Abbiamo aggiornato le AMI AWS Windows. Esse sono ora disponibili per i clienti, con le necessarie patch installate e le chiavi di registro abilitate.
Microsoft ha fornito patch Windows per i Server 2008R2, 2012R2 e 2016. Le patch sono disponibili tramite Windows Update Service incorporato per Server 2016. Siamo in attesa di informazioni da parte di Microsoft sulla disponibilità di patch per Server 2003, 2008SP2 e 2012RTM.
I clienti AWS che eseguono istanze di Windows su EC2 con gli "Aggiornamenti automatici" abilitati devono eseguire gli aggiornamenti automatici per scaricare e installare l'aggiornamento necessario per Windows una volta disponibile.
Le patch Server 2008R2 e 2012R2 non sono attualmente disponibili tramite Windows Update e richiedono il download manuale. Microsoft aveva precedentemente informato che queste patch sarebbero state disponibili martedì 9 gennaio; siamo tuttavia ancora in attesa di informazioni sulla loro disponibilità.
I clienti AWS che eseguono istanze di Windows su EC2 dove gli "Aggiornamenti automatici" non sono abilitati devono installare manualmente l'aggiornamento necessario non appena disponibile attenendosi alle istruzioni riportate qui: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Per Windows Server, Microsoft richiede ulteriori passaggi per abilitare le funzionalità di protezione dell'aggiornamento per questo problema, descritto qui: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI ottimizzata per ECS
Abbiamo rilasciato un'AMI ottimizzata per Amazon ECS, versione 2017.09.f che incorpora tutte le protezioni di Amazon Linux per questa problematica, incluso il secondo aggiornamento del kernel di Amazon Linux precedentemente citato. Consigliamo a tutti i clienti Amazon ECS di eseguire l'upgrade alla versione più recente, disponibile nell'AWS Marketplace. Continueremo a incorporare le migliorie di Amazon Linux, non appena saranno disponibili.
I clienti che desiderano effettuare l'aggiornamento delle istanze AMI ottimizzate per ECS esistenti sono invitati a eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:
sudo yum update kernel
Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio per rendere effettivi gli aggiornamenti.
Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di AMI, sistema operativo o software alternativo/di terze parti per aggiornamenti e istruzioni, qualora necessari. Le istruzioni su Amazon Linux, sono disponibili nella sezione Centro di sicurezza AMI Amazon Linux.
L'AMI Windows ottimizzata per Amazon ECS è in corso di aggiornamento e aggiorneremo il bollettino non appena sarà disponibile. Microsoft ha fornito patch Windows per il Server 2016. Per informazioni dettagliate su come applicare le patch alle istanze in esecuzione, consulta https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Abbiamo aggiornato tutte le piattaforme basate su Linux per includere le protezioni iniziali Amazon Linux per questa problematica. Per le versioni specifiche della piattaforma, consulta le note di rilascio. Si invitano i clienti ad aggiornare i propri ambienti. Usando gli aggiornamenti gestiti, gli ambienti verranno automaticamente aggiornati nella finestra di manutenzione configurata.
Stiamo incorporando il secondo aggiornamento kernel di Amazon Linux sopra menzionato. Aggiorneremo questo bollettino quando le nuove versioni della piattaforma saranno disponibili.
Il team di Elastic Beanstalk continua a lavorare sugli aggiornamenti della piattaforma Windows. Nel frattempo, ai clienti di Elastic Beanstalk, che utilizzano piattaforme basate su Windows, si consiglia di installare manualmente gli aggiornamenti di sicurezza disponibili utilizzando le istruzioni nella sezione precedente "EC2 Windows" di questo bollettino.
RDS
Le istanze dei database dei clienti gestite da RDS sono dedicate solamente all'esecuzione del motore del database per un singolo cliente. Non vi sono altri processi accessibili ai clienti e questi ultimi non possono eseguire codici su un'istanza sottostante. Dato che AWS ha ultimato le protezioni di tutte le infrastrutture sottostanti a RDS, le problematiche tra processi e tra processi e kernel di questo tipo non presentano alcun rischio per i clienti. Al momento la maggior parte dei supporti RDS per motori di database non ha riscontrato problematiche tra processi. Di seguito puoi trovare ulteriori dettagli specifici sui motori di database. Se non diversamente specificato, non è richiesta alcuna azione da parte del cliente. Aggiorneremo questo bollettino una volta che ulteriori informazioni saranno disponibili.
Per le istanze di database del server SQL per RDS, rilasceremo patch di motore di database e sistemi operativi, non appena resi disponibili da Microsoft, per consentire ai clienti di aggiornarli scegliendo un altro momento. Aggiorneremo il bollettino non appena uno di questi sarà completato. Nel frattempo, i clienti che hanno abilitato CLR (disabilitata per impostazione predefinita) dovrebbero riesaminare la guida di Microsoft sulla disabilitazione dell'estensione CLR alla pagina: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
Per PostgreSQL di RDS e PostgreSQL di Aurora, al momento non è richiesta nessuna azione da parte del cliente in merito alle istanze DB in esecuzione nella configurazione predefinita. Forniremo le patch appropriate agli utenti delle estensioni plv8 non appena saranno disponibili. Nel frattempo, i clienti che hanno abilitato le estensioni plv8 (disabilitate per impostazione predefinita) dovrebbero considerarne la disabilitazione e riesaminare la guida di V8 alla pagina: https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Non è richiesta alcuna azione da parte dei clienti per le istanze dei database RDS per MariaDB, RDS per MySQL, Aurora MySQL e RDS per Oracle.
VMware Cloud on AWS
Per VMware, "Le azioni correttive illustrate in VMSA-2018-0002 sono state presentate su VMware Cloud on AWS dall'inizio di dicembre 2017".
Per maggiori dettagli, consulta il blog sulla sicurezza e compliance di VMware, mentre per lo stato degli aggiornamenti visita la pagina https://status.vmware-services.io.
WorkSpaces
Nel corso del prossimo fine settimana, AWS applicherà gli aggiornamenti di sicurezza pubblicati da Microsoft alla maggior parte dei WorkSpace AWS. In tale lasso di tempo è da prevedere che i WorkSpace dei clienti subiranno un riavvio.
I clienti Bring Your Own License (BYOL) e i clienti che hanno modificato le impostazioni di aggiornamento predefinite in WorkSpace devono applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.
Segui le istruzioni fornite dall'avviso di sicurezza di Microsoft alla pagina: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. L'avviso di sicurezza include i link agli articoli knowledge base per i sistemi operativi di Windows Server e Windows Client che forniscono ulteriori informazioni specifiche.
I bundle WorkSpace aggiornati saranno disponibili a breve con gli aggiornamenti sulla sicurezza. I clienti che hanno creato bundle personalizzati devono aggiornare autonomamente i propri bundle per includere gli aggiornamenti sulla sicurezza. Ogni nuovo WorkSpace lanciato da bundle che non dispone degli aggiornamenti riceverà le patch poco dopo il lancio, a meno che i clienti non abbiano modificato le impostazioni di aggiornamento predefinite in WorkSpace. In tal caso, i clienti dovrebbero seguire le istruzioni riportate in precedenza per applicare manualmente gli aggiornamenti sulla sicurezza forniti da Microsoft.
Amazon WorkSpaces Application Manager (WAM)
Consigliamo ai clienti di scegliere uno dei seguenti metodi di risoluzione:
Opzione 1: applicare manualmente le patch Microsoft alle istanze in esecuzione di WAM Packager and Validator, seguendo i passaggi forniti da Microsoft alla pagina: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Su questa pagina troverai ulteriori istruzioni e i relativi download per Windows Server.
Opzione 2: ricostruire nuove istanze EC2 WAM Packager and Validator a partire dalle AMI aggiornate per WAM Packager and Validator che saranno disponibili a fine giornata (04/01/2018).