Linux Kernel TCP SACK サービス妨害問題

【日本語訳】日本時間 2019年06月25日10:00

最終更新: 2019/06/18 11:45 PM PDT
CVE 識別子: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479

Amazon Elastic Container Service (ECS)

2019年6月17,18日にパッチがあてられた Amazon Linux および Amazon Linux 2 のカーネルで更新版の ECS 最適化 Amazon Machine Image (AMI) が提供されました。最新バージョンの入手方法を含む ECS 最適化 AMI に関する詳細は https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html をご覧ください。

Amazon GameLift

Linux ベースの Amazon GameLift インスタンス向けの更新版の AMI が、全リージョンで利用可能です。Linux ベースの Amazon GameLift インスタンスを使用しているお客様は更新版の AMI で新規フリートを作成されることをお勧めします。フリートの作成に関する詳細は https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html をご覧ください。

AWS Elastic Beanstalk

AWS Elastic Beanstalk における Linux ベースのプラットフォームで更新版のバージョンが利用可能です。マネージドプラットフォーム更新をご利用のお客様は、お客様が選択されているメンテナンスウィンドウ内で自動的に最新のプラットフォームのバージョンまで更新され、他のアクションは必要ありません。代わりに、マネージド更新設定のページに移動し、”Apply Now”ボタンをクリックすることで、メンテナンスウィンドウよりも早く利用可能な更新を適用することも可能です。

マネージドプラットフォーム更新を有効にされていないお客様は、手動で環境のプラットフォームのバージョンを更新する必要があります。マネージドプラットフォーム更新に関する詳細は、https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html をご覧ください。

Amazon Linux および Amazon Linux 2

Amazon Linux レポジトリで Amazon Linux 向けの更新版のカーネルが利用可能となっており、更新版の Amazon Linux AMI をお使いいただけます。Amazon Linux が稼働する既存の EC2 インスタンスを持ったお客様につきましては、パッケージの更新を受け取るために Amazon Linux が稼働する各 EC2 インスタンス内で以下のコマンドを実行する必要があります。

sudo yum update kernel

一般的な Linux カーネルのアップデートと同様、yum update 完了後、更新を適用するためには再起動を必要とします。

Amazon Linux をご利用でないお客様は、当該問題によるあらゆる可能性のある DoS の懸念を緩和をするために必要な全ての更新及び操作を、利用されているオペレーティングシステムのベンダーにご確認ください。詳細は、Amazon Linux Security Center でご確認いただけます。 https://alas.aws.amazon.com/ALAS-2019-1222.html

Amazon Elastic Compute Cloud (EC2)

インターネットのように信頼されていない相手との間での TCP 接続を開始したり通信を受信している Linux ベースのお客様の EC2 インスタンスでは、潜在的に引き起こす可能性のある DoS をブロックするためには、オペレーティングシステムのパッチが必須です。注意: Amazon Elastic Load Balancing (ELB) を使用しているお客様につきましては、詳細なご案内は、以下の “Elastic Load Balancing (ELB)” をご確認ください。

Elastic Load Balancing (ELB)

TCP Network Load Balancers (NLBs) につきましては、TLS セッションを終端するように設定していない場合、トラフィックをフィルターしません。TLS セッションを終端するように設定された NLB は、当該問題緩和にあたって追加でお客様の作業は必要ありません。

Linux ベースの EC2 インスタンスが TLS セッションを終端しない TCP NLB を使用している場合、DoS を受ける懸念があるため、オペレーティングシステムのパッチが必須です。現在、Amazon Linux 向けのカーネルの更新が利用可能で、更新操作につきましては別途 EC2 に関してご案内しています。

Classic Load Balancer, Application Load Balancer もしくは TLS を終端する Network Load Balancer(TLS NLB) といった Elastic Load Balancing (ELB) を使用している Linux ベースの EC2 インスタンスは、追加でお客様のアクションは必要ありません。ELB Classic と ALB は潜在的に DoS を引き起こしうる受信トラフィックをフィルターしています。

Amazon WorkSpaces (Linux)

新しい Amazon Linux WorkSpaces は全てカーネルが更新された状態で起動します。既存の Amazon Linux WorkSpaces には既にインストールされており、Amazon Linux 2 のカーネルは更新版となっています。

一般的な Linux カーネルのアップデートと同様、yum update 完了後、更新を適用するためには再起動を必要とします。お客様の方でなるべく早く手動で再起動されることをお勧めします。手動で再起動しない場合、Amazon Linux WorkSpaces はローカル時間で6/18の12:00AMから4:00AMの間に自動で再起動が行われます。

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

現在稼働している Amazon EKS クラスターは全て当該問題から保護されています。Amazon EKS は2019年6月17日にパッチが当てられた Amazon Linux 2 カーネルで EKS 最適化 Amazon Machine Image (AMI) の提供をはじめました。EKS 最適化 AMI に関する詳細は https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html をご覧ください。

EKS を利用されているお客様は、全ワーカーノードにつきまして最新の EKS 最適化 AMI のバージョンを使用することを推奨します。ワーカーノードの更新に関する操作の詳細は https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html をご覧ください。

Amazon ElastiCache

Amazon ElastiCache はお客様の VPC に Amazon Linux が稼働する Amazon EC2 インスタンスのクラスターを起動します。これらのクラスターはデフォルトで信頼されていないTCP コネクションを受け付けず、当該問題の影響を受けません。

デフォルトの ElastiCache VPC 設定に変更を加えているお客様は、AWS 推奨のセキュリティベストプラクティスに従って、潜在的に DoS を引き起こしうる信頼されていないクライアントからのネットワークトラフィックをブロックするよう ElastiCache セキュリティグループが設定されていることを確認してください。

VPC 外で稼働している ElastiCache クラスターを持っていて、デフォルト設定に変更を加えているお客様は、ElastiCache セキュリティグループを使用して信頼できるアクセス先を設定ください。ElastiCache セキュリティグループ作成に関する詳細は、https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html をご覧ください。

ElastiCache チームはまもなく当該問題に対応した新しいパッチをリリースする予定です。こちらのパッチが利用可能になると、お客様へ適用する準備ができている旨を通知する予定です。お客様は、ElastiCache self-service update 機能でクラスターを更新するか選択できます。ElastiCache self-service パッチ更新に関する詳細は、https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html をご覧ください。

Amazon EMR

Amazon EMR は、お客様に代わって VPC に Amazon Linux が稼働するEC2 インスタンスのクラスターを起動します。これらのクラスターはデフォルトで信頼されていない TCP コネクションを受け付けず、当該問題の影響を受けません。

デフォルトの EMR VPC 設定に変更を加えているお客様は、AWS 推奨のセキュリティベストプラクティスに従って、潜在的に DoS を引き起こしうる信頼されていないクライアントからのネットワークトラフィックをブロックするよう EMR セキュリティグループが設定されていることを確認してください。EMR セキュリティグループ作成に関する詳細は、https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html をご覧ください。

AWS 推奨のセキュリティベストプラクティスに従って EMR セキュリティグループを設定しない(もしくはその他のセキュリティポリシーに準拠するためにオペレーティングシステムのパッチが必要な)お客様は、当該問題緩和にあたって新規および既存の EMR クラスターを更新するためには後述する操作を行ってください。注意: これらの更新はクラスターのインスタンスの再起動が必要となり、稼働しているアプリケーションに影響を与える可能性があります。お客様は、必要性があると判断するまでクラスターを再起動しないでください。

新規クラスターにつきましては、Linux カーネル更新のために EMR ブートストラップアクションを使用して、各インスタンスを再起動してください。EMR ブートストラップアクションに関する詳細は、https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html をご覧ください。

既存のクラスターにつきましては、クラスター内で各インスタンス上で Linux カーネルを更新して、順次更新したインスタンスを再起動ください。

上記は AWS Japan Security Awareness Team によって翻訳されました。原文は以下です：

https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-005

最新情報は原文の内容を正としてご参照ください。

Amazon Web Services ブログ