Stai visualizzando una versione precedente del bollettino di sicurezza. Per la versione più aggiornata, consulta: "Problemi di negazione del servizio (Denial of Service, DoS) SACK TCP del kernel Linux".
17 giugno 2019, 10:00 PDT
Indicatori CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
AWS è al corrente di tre problemi recentemente emersi che interessano il sottosistema di elaborazione TCP del kernel Linux. Nello specifico, un server o un client TCP dannoso può trasmettere una serie di pacchetti creati appositamente che possono causare un panico e un riavvio del kernel Linux di ogni sistema di connessione di destinazione.
I sistemi e l'infrastruttura sottostanti di AWS sono protetti contro questi problemi. Ad eccezione dei servizi AWS riportati di seguito, non sono necessari interventi da parte dei clienti per limitare i potenziali problemi di negazione del servizio (DoS) relativi a queste questioni.
Amazon Elastic Compute Cloud (EC2)
Le istanze EC2 basate su Linux dei clienti che avviano o ricevono direttamente connessioni TCP a o da parti non affidabili, ad esempio Internet, necessitano di patch di sistema operativo per limitare i potenziali i problemi di DoS relativi a queste questioni. NOTA: i clienti che utilizzano Amazon Elastic Load Balancing (ELB) dovrebbero consultare la sezione "Elastic Load Balancing (ELB)" di seguito per ulteriori linee guida.
AMI Amazon Linux e AMI Amazon Linux 2
A breve saranno disponibili le AMI Amazon Linux aggiornate. Questo bollettino verrà aggiornato non appena saranno disponibili per l'utilizzo.
I kernel aggiornati per l'AMI Amazon Linux e Amazon Linux 2 sono immediatamente disponibili all'interno dei repository Amazon Linux. I clienti con istanze EC2 esistenti su Amazon Linux dovrebbero eseguire il seguente comando all'interno di ogni istanza EC2 su Amazon Linux, per essere sicuri di ricevere il pacchetto aggiornato:
sudo yum update kernel
Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio affinché gli aggiornamenti diventino effettivi.
A breve saranno disponibili ulteriori informazioni nella sezione Centro di sicurezza Amazon Linux.
Elastic Load Balancing (ELB)
I Network Load Balancer (NLB) non filtrano il traffico. Le istanze EC2 basate su Linux che utilizzano gli NLB richiedono patch di sistema operativo per limitare i potenziali problemi di DoS relativi a queste questioni. Sono ora disponibili i kernel aggiornati per Amazon Linux e le istruzioni per l'aggiornamento delle istanze EC2 che eseguono attualmente Amazon Linux sono riportate qui sopra. I clienti che non usano Amazon Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti o le istruzioni necessari a limitare i potenziali problemi di DoS.
Le istanze EC2 basate su Linux che utilizzano Classic Load Balancer e Application Load Balancer di Elastic Load Balancing (ELB) non richiedono ulteriori azioni da parte del cliente. Classic Load Balacer e Application Load Balancer di ELB filtreranno il traffico in entrata per limitare i potenziali problemi di DoS relativi a queste questioni.
Amazon WorkSpaces (Linux)
Tutti i nuovi WorkSpaces Amazon Linux saranno avviati assieme ai kernel aggiornati. I kernel aggiornati per Amazon Linux 2 sono già stati installati per i WorkSpaces Amazon Linux esistenti.
Come di prassi per ogni aggiornamento del kernel Linux, è necessario un riavvio affinché gli aggiornamenti diventino effettivi. Consigliamo ai clienti di eseguire un riavvio manuale il prima possibile. Altrimenti, i WorkSpaces Amazon Linux si riavvieranno automaticamente il 18 giugno, tra le 00:00 e le 04:00 dell'ora locale.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Tutti i cluster Amazon EKS attualmente in esecuzione sono protetti contro questi problemi. Amazon EKS ha pubblicato Amazon Machine Images (AMI) ottimizzate per EKS aggiornate con il kernel Amazon Linux 2 con patch il 17 giugno 2019. Per ulteriori informazioni sull'AMI ottimizzata per EKS, consulta https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Consigliamo ai clienti EKS di sostituire tutti i nodi di lavoro per utilizzare l'ultima versione dell'AMI ottimizzata per EKS. Per le istruzioni sull'aggiornamento dei nodi di lavoro, consulta https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
Le piattaforme aggiornate di AWS Elastic Beanstalk basate su Linux saranno disponibili il 17 giungo 2019. Questo bollettino verrà aggiornato una volta disponibili le nuove versioni della piattaforma. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all'ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di ulteriori interventi. In alternativa, i clienti che utilizzano gli aggiornamenti gestiti della piattaforma possono eseguire indipendentemente gli aggiornamenti disponibili prima rispetto alla finestra di manutenzione selezionata attraverso la pagina di configurazione Managed Updates (Aggiornamenti gestiti) e cliccando su "Apply now" (Applica ora).
I clienti che non hanno attivato gli aggiornamenti gestiti della piattaforma devono aggiornare la versione della piattaforma del loro ambiente seguendo le istruzioni riportate sopra. Per ulteriori informazioni sugli aggiornamenti gestiti della piattaforma, consulta https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache avvia cluster di istanze Amazon EC2 che eseguono Amazon Linux nei VPC dei clienti. Per impostazione predefinita, questi cluster non accettano connessioni TCP non affidabili e non sono interessati da questi problemi.
I clienti che hanno apportato modifiche alla configurazione predefinita del VPC di ElastiCache dovrebbero assicurarsi che i gruppi di sicurezza ElastiCache seguano le best practice di sicurezza consigliate da AWS, configurandoli per bloccare il traffico di rete proveniente da client non affidabili per limitare potenziali problemi di DoS. Per ulteriori informazioni sulla configurazione del VPC di ElastiCache, consulta https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
I clienti con cluster ElastiCache in esecuzione all'esterno dei VPC che hanno apportato modifiche alla configurazione predefinita dovrebbero impostare un accesso affidabile attraverso i gruppi di sicurezza ElastiCache. Per ulteriori informazioni sulla creazione di gruppi di sicurezza ElastiCache, consulta la pagine https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
Il team di ElastiCache rilascerà presto una nuova patch che risponde a questi problemi. Una volta disponibile, informeremo i clienti che la patch è pronta per essere applicata. I clienti possono quindi scegliere di aggiornare i cluster attraverso la funzionalità di aggiornamento self-service di ElastiCache. Per ulteriori informazioni sugli aggiornamenti della patch self-service di ElastiCache, consulta https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR avvia cluster di istanze Amazon EC2 che eseguono Amazon Linux nei VPC dei clienti per loro conto. Per impostazione predefinita, questi cluster non accettano connessioni TCP non affidabili e pertanto non sono interessati da questi problemi.
I clienti che hanno apportato modifiche alla configurazione predefinita del VPC di EMR dovrebbero assicurarsi che i gruppi di sicurezza EMR seguano le best practice di sicurezza consigliate da AWS, bloccando il traffico di rete proveniente da client non affidabili per limitare potenziali problemi di DoS. Per ulteriori informazioni sui gruppi di sicurezza EMR, consulta https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html.
I clienti che scelgono di non configurare i gruppi di sicurezza EMR secondo le best practice di sicurezza consigliate da AWS (o le cui patch di sistema operativo devono soddisfare policy di sicurezza aggiuntive), possono seguire le istruzioni di seguito per aggiornare i cluster EMR, nuovi o esistenti, al fine di limitare questi problemi. NOTA: questi aggiornamenti necessitano del riavvio delle istanze cluster e potrebbero influire sulle applicazioni in esecuzione. I clienti non dovrebbero riavviare i cluster fino a che non lo ritengono necessario:
Per i nuovi cluster, utilizza un'operazione di bootstrap di EMR per aggiornare il kernel Linux e riavviare ogni istanza. Per ulteriori informazioni sulle operazioni di bootstrap di EMR, consulta https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Per i cluster esistenti, aggiorna il kernel Linux su ogni istanza all'interno di un cluster e riavviale in sequenza.