Ultimo aggiornamento: 18 giugno 2019, 11:45 PDT
Indicatori CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Si tratta di un aggiornamento per questo problema.
Amazon Elastic Container Service (ECS)
Amazon ECS ha pubblicato Amazon Machine Images (AMI) ottimizzate per ECS aggiornate con il kernel Amazon Linux e Amazon Linux 2 con patch il 17 e 18 giungo 2019. Per ulteriori informazioni sulle AMI ottimizzate per ECS, incluso come ottenere l'ultima versione, consulta https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
Consigliamo ai clienti ECS di aggiornare le istanze di container EC2 per utilizzare l'ultima versione delle AMI ottimizzate per ECS.
Amazon GameLift
Un'AMI aggiornata per le istanze Amazon GameLift basate su Linux è stata resa disponibile in tutte le regioni Amazon GameLift. Consigliamo ai clienti che utilizzano le istanze Amazon GameLift basate su Linux di creare nuovi parchi istanze per implementare l'AMI aggiornata. Per ulteriori informazioni sulla creazione di parchi istanze, consulta https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Sono disponibili versioni aggiornate della piattaforma di AWS Elastic Beanstalk basata su Linux. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all'ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di ulteriori interventi. In alternativa, i clienti che utilizzano gli aggiornamenti gestiti della piattaforma possono eseguire indipendentemente gli aggiornamenti disponibili prima rispetto alla finestra di manutenzione selezionata attraverso la pagina di configurazione Managed Updates (Aggiornamenti gestiti) e cliccando su "Apply now" (Applica ora).
I clienti che non hanno attivato gli aggiornamenti gestiti della piattaforma devono aggiornare la versione della piattaforma del loro ambiente seguendo le istruzioni riportate sopra. Per ulteriori informazioni sugli aggiornamenti gestiti della piattaforma, consulta https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux e Amazon Linux 2
I kernel Linux aggiornati per Amazon Linux sono disponibili nei repository di Amazon Linux e le AMI aggiornate Amazon Linux sono disponibili per l'uso. I clienti con istanze EC2 esistenti su Amazon Linux dovrebbero eseguire il seguente comando all'interno di ogni istanza EC2 su Amazon Linux, per essere sicuri di ricevere il pacchetto aggiornato:
sudo yum update kernel
Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio affinché gli aggiornamenti diventino effettivi.
I clienti che non usano Amazon Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti o le istruzioni necessari a limitare i potenziali problemi di DoS relativi a queste questioni. Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.
Amazon Elastic Compute Cloud (EC2)
Le istanze EC2 basate su Linux dei clienti che avviano o ricevono direttamente connessioni TCP a o da parti non affidabili, ad esempio Internet, necessitano di patch di sistema operativo per limitare i potenziali i problemi di DoS relativi a queste questioni. NOTA: i clienti che utilizzano Amazon Elastic Load Balancing (ELB) dovrebbero consultare la sezione "Elastic Load Balancing (ELB)" di seguito per ulteriori linee guida.
Elastic Load Balancing (ELB)
I Network Load Balancer (NLB) del TCP non filtrano il traffico, a meno che non siano configurati per terminare sessioni TLS. Gli NLB configurati per terminare sessioni TLS non richiedono ulteriori interventi da parte del cliente per limitare questo problema.
Le istanze EC2 basate su Linux che utilizzano gli NLB del TCP e non terminano sessioni TLS richiedono patch di sistema operativo per limitare i potenziali problemi di DoS relativi a queste questioni. Sono ora disponibili i kernel aggiornati per Amazon Linux e le istruzioni per l'aggiornamento delle istanze EC2 che eseguono attualmente Amazon Linux sono riportate qui sopra. I clienti che non usano Amazon Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti o le istruzioni necessari a limitare i potenziali problemi di DoS.
Le istanze EC2 basate su Linux che utilizzano Classic Load Balancer, Application Load Balancer o Network Load Balancer con terminazione TLS (TLS NLB) di Elastic Load Balancing (ELB) non richiedono ulteriori azioni da parte del cliente. Classic Load Balacer e Application Load Balancer di ELB filtreranno il traffico in entrata per limitare i potenziali problemi di DoS relativi a queste questioni.
Amazon WorkSpaces (Linux)
Tutti i nuovi WorkSpaces Amazon Linux saranno avviati assieme ai kernel aggiornati. I kernel aggiornati per Amazon Linux 2 sono già stati installati per i WorkSpaces esistenti Amazon Linux.
Come di prassi per ogni aggiornamento del kernel Linux, è necessario un riavvio affinché gli aggiornamenti diventino effettivi. Consigliamo ai clienti di eseguire un riavvio manuale il prima possibile. Altrimenti, i WorkSpaces Amazon Linux si riavvieranno automaticamente il 18 giugno, tra le 00:00 e le 04:00 dell'ora locale.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Tutti i cluster Amazon EKS attualmente in esecuzione sono protetti contro questi problemi. Amazon EKS ha pubblicato Amazon Machine Images (AMI) ottimizzate per EKS aggiornate con il kernel Amazon Linux 2 con patch il 17 giugno 2019. Per ulteriori informazioni sull'AMI ottimizzata per EKS, consulta https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Consigliamo ai clienti EKS di sostituire tutti i nodi di lavoro per utilizzare l'ultima versione dell'AMI ottimizzata per EKS. Per le istruzioni sull'aggiornamento dei nodi di lavoro, consulta https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Amazon ElastiCache
Amazon ElastiCache avvia cluster di istanze Amazon EC2 che eseguono Amazon Linux nei VPC dei clienti. Per impostazione predefinita, questi cluster non accettano connessioni TCP non affidabili e non sono interessati da questi problemi.
I clienti che hanno apportato modifiche alla configurazione predefinita del VPC di ElastiCache dovrebbero assicurarsi che i gruppi di sicurezza ElastiCache seguano le best practice di sicurezza consigliate da AWS, configurandoli per bloccare il traffico di rete proveniente da clienti non affidabili per limitare potenziali problemi di DoS. Per ulteriori informazioni sulla configurazione del VPC di ElastiCache, consulta https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
I clienti con cluster ElastiCache in esecuzione all'esterno dei VPC che hanno apportato modifiche alla configurazione predefinita dovrebbero impostare un accesso affidabile attraverso i gruppi di sicurezza ElastiCache. Per ulteriori informazioni sulla creazione di gruppi di sicurezza ElastiCache, consulta la pagine https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
Il team di ElastiCache rilascerà presto una nuova patch che risponde a questi problemi. Una volta disponibile, informeremo i clienti che la patch è pronta per essere applicata. I clienti possono quindi scegliere di aggiornare i cluster attraverso la funzionalità di aggiornamento self-service di ElastiCache. Per ulteriori informazioni sugli aggiornamenti della patch self-service di ElastiCache, consulta https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR avvia cluster di istanze Amazon EC2 che eseguono Amazon Linux nei VPC dei clienti per loro conto. Per impostazione predefinita, questi cluster non accettano connessioni TCP non affidabili e pertanto non sono interessati da questi problemi.
I clienti che hanno apportato modifiche alla configurazione predefinita del VPC di EMR dovrebbero assicurarsi che i gruppi di sicurezza EMR seguano le best practice di sicurezza consigliate da AWS, bloccando il traffico di rete proveniente da clienti non affidabili per limitare potenziali problemi di DoS. Per ulteriori informazioni sui gruppi di sicurezza EMR, consulta https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html.
I clienti che scelgono di non configurare i gruppi di sicurezza EMR secondo le best practice di sicurezza consigliate da AWS (o che necessitano di patch di sistema operativo per soddisfare policy di sicurezza aggiuntive), possono seguire le istruzioni di seguito per aggiornare i cluster EMR, nuovi o esistenti, al fine di limitare questi problemi. NOTA: questi aggiornamenti necessitano del riavvio delle istanze cluster e potrebbero influire sulle applicazioni in esecuzione. I clienti non dovrebbero riavviare i cluster fino a che non lo ritengono necessario:
Per i nuovi cluster, utilizza un'operazione di bootstrap di EMR per aggiornare il kernel Linux e riavviare ogni istanza. Per ulteriori informazioni sulle operazioni di bootstrap di EMR, consulta https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Per i cluster esistenti, aggiorna il kernel Linux su ogni istanza all'interno di un cluster e riavviale in sequenza.