Referente a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Atualização a partir de: 05/03/2018 15:00 PST

Esta é uma atualização para o problema.

Um kernel atualizado para o Amazon Linux está disponível nos repositórios do Amazon Linux. Instâncias do EC2 executadas com a configuração padrão do Amazon Linux a partir de 13 de janeiro de 2018 incluirão automaticamente o pacote atualizado, que incorpora as melhorias estáveis de segurança mais recentes do Linux de software livre para tratar da CVE-2017-5715 no kernel e se baseia no Kernel Page Table Isolation (KPTI) previamente incorporado que solucionou a CVE-2017-5754. Os clientes precisam atualizar para o kernel ou a AMI do Amazon Linux mais recentes para atenuar efetivamente as preocupações processo a processo da CVE-2017-5715 e entre processo e kernel da CVE-2017-5754 em suas instâncias. Consulte “Execução especulativa do processador: atualizações do sistema operacional” para obter mais informações.

Consulte as informações de "Orientação de instâncias PV", mais abaixo, sobre instâncias paravirtualizadas (PV).

Amazon EC2

Todas as instâncias da frota do Amazon EC2 estão protegidas contra todas as preocupações conhecidas instância a instância da CVE-2017-5715, da CVE-2017-5753 e da CVE-2017-5754. As preocupações instância a instância pressupõem que uma instância vizinha não confiável possa ler a memória de outra instância ou do hipervisor da AWS. Esse problema foi solucionado para os hipervisores da AWS, e nenhuma instância pode ler a memória de outra, nem pode ler a memória do hipervisor da AWS. Como afirmado anteriormente, não observamos impacto significativo sobre desempenho para a grande maioria das cargas de trabalho do EC2.

Em 12 de janeiro de 2018, concluímos a desativação de partes do novo microcódigo de CPU da Intel para as plataformas da AWS em que estávamos observando um pequeno número de falhas e outros comportamentos imprevisíveis causados pelas atualizações de microcódigo da Intel. Essa alteração atenuou os problemas para esse pequeno número de instâncias.

Ações recomendadas do cliente para o AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail

Embora todas as instâncias dos clientes estejam protegidas conforme descrito acima, recomendamos que os clientes apliquem correções nos sistemas operacionais de suas instância para solucionar as preocupações processo a processo ou entre processo e kernel desse problema. Consulte “Execução especulativa do processador: atualizações do sistema operacional” para obter mais orientações e instruções sobre o Amazon Linux e Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE e Ubuntu.

Orientação para instâncias PV

Após uma pesquisa em andamento e análise detalhada das correções de sistema operacional disponíveis para esse problema, determinamos que as proteções do sistema operacional são insuficientes para solucionar as preocupações processo a processo em instâncias paravirtualizadas (PV). Embora as instâncias PV sejam protegidas pelos hipervisores da AWS contra quaisquer preocupações instância a instância, conforme descrito acima, recomendamos que os clientes preocupados com o isolamento de processos em suas instâncias PV (por exemplo, processar dados não confiáveis, executar código não confiável, hospedar usuários não confiáveis) migrem para tipos de instância HVM para obter benefícios de segurança a longo prazo.

Para obter mais informações sobre as diferenças entre PV e HVM (bem como a documentação do roteiro de atualização de instâncias), consulte:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Entre em contato com o Support se precisar de ajuda com um roteiro de atualização para qualquer instância de PV.

Atualizações em outros serviços da AWS

Os seguintes serviços exigiram o aplicação de correções em instâncias do EC2 gerenciadas em nome dos clientes. Todo o trabalho foi concluído, e nenhuma ação do cliente é necessária:

  • Fargate
  • Lambda

A menos que discutido de outra forma abaixo, todos os outros serviços da AWS não exigem ação por parte do cliente.

AMI otimizada para o ECS

Lançamos a AMI otimizada para o Amazon ECS, versão 2017.09.g, que incorpora todas as proteções do Amazon Linux para esse problema. Aconselhamos todos os clientes do Amazon ECS a atualizar para essa versão mais recente, disponível no AWS Marketplace.

Os clientes que optarem por atualizar as instâncias existentes da AMI otimizada para o ECS devem executar o seguinte comando para garantir o recebimento do pacote atualizado:

sudo yum update kernel

Como é padrão em qualquer atualização do kernel do Linux, após a conclusão da atualização usando o comando yum, é necessária uma reinicialização para que as atualizações entrem em vigor.

Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor de qualquer sistema operacional, software ou AMI alternativo/de terceiros para obter atualizações e instruções, conforme necessário. Há instruções sobre o Amazon Linux disponíveis no Amazon Linux AMI Security Center.

Lançamos a versão da AMI Windows otimizada para o Amazon ECS 2018.01.10. Para obter detalhes sobre como aplicar patches às instâncias em execução, consulte “Execução especulativa do processador: atualizações do sistema operacional”.

Elastic Beanstalk

Atualizamos todas as plataformas baseadas em Linux para incluir todas as proteções do Amazon Linux para esse problema. Consulte as notas de lançamento para versões específicas da plataforma. Aconselhamos os clientes do Elastic Beanstalk a atualizar seus ambientes para a versão mais recente da plataforma disponível. Os ambientes que usam Atualizações gerenciadas serão atualizados automaticamente durante a janela de manutenção configurada.

As plataformas baseadas em Windows também foram atualizadas para incluir todas as proteções do EC2 Windows para esse problema. Aconselhamos os clientes a atualizar seus ambientes do Elastic Beanstalk baseados em Windows para a configuração de plataforma disponível mais recente.

ElastiCache

Nós de cache de cliente gerenciados pelo ElastiCache são dedicados a executar apenas um mecanismo de cache para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao ElastiCache, as preocupações entre processo e kernel ou processo a processo desse problema não representam um risco para os clientes. Ambos os mecanismos de cache com suporte pelo ElastiCache não relataram preocupações entre processos conhecidas no momento.

EMR

O Amazon EMR executa clusters de instâncias do Amazon EC2 executando o Amazon Linux em na conta do cliente e em nome dele. Os clientes preocupados com o isolamento de processos nas instâncias de seus clusters do Amazon EMR devem atualizar para o kernel do Amazon Linux mais recente, conforme recomendado acima. Incorporamos o kernel mais recente do Amazon Linux nas novas versões secundárias 5.11.1, 5.8.1, 5.5.1 e 4.9.3. Os clientes podem criar novos clusters do Amazon EMR com esses lançamentos.

Para as versões atuais do Amazon EMR e quaisquer instâncias em execução associadas que os clientes possam ter, recomendamos a atualização para o kernel do Amazon Linux mais recente, conforme recomendado acima. Para novos clusters, os clientes podem usar uma ação de bootstrap para atualizar o kernel do Linux e reiniciar cada instância. Para clusters em execução, os clientes podem facilitar a atualização do kernel do Linux e reiniciar para cada instância em seu cluster de maneira contínua. Observe que a reinicialização de certos processos pode afetar os aplicativos em execução no cluster.

RDS

Instâncias de banco de dados de cliente gerenciadas pelo RDS são dedicadas a executar apenas um mecanismo de banco de dados para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar o código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao RDS, as preocupações entre processo e kernel ou entre processos desse problema não representam um risco para os clientes. A maioria dos mecanismos de banco de dados com suporte pelo RDS não relatou preocupações intraprocessuais conhecidas no momento. Detalhes adicionais específicos do mecanismo de banco de dados são fornecidas abaixo e, salvo indicação em contrário, não é necessária nenhuma ação por parte do cliente.

Para instâncias de banco de dados do RDS for SQL Server, lançamos patches de SO e de mecanismo que contêm os patches da Microsoft nas seguintes versões de mecanismo:

SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)

Os clientes devem revisar as orientações da Microsoft sobre a aplicação desses patches e aplicá-los no momento que escolherem:

https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

Para o RDS PostgreSQL e o Aurora PostgreSQL, as instâncias de banco de dados em execução na configuração padrão atualmente não precisam de ações por parte do cliente. Forneceremos as correções apropriadas para os usuários das extensões plv8 assim que elas forem disponibilizadas. Enquanto isso, os clientes que habilitaram extensões plv8 (desabilitadas por padrão) devem considerar desabilitá-las e revisar as orientações da V8 em https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Atualmente, as instâncias de banco de dados RDS for MariaDB, RDS for MySQL, Aurora MySQL e RDS for Oracle não exigem ação por parte do cliente.

VMware Cloud on AWS

De acordo com a VMware, “A correção documentada em VMSA-2018-0002 está presente no VMware Cloud on AWS desde o início de dezembro de 2017”.

Consulte o blog de segurança e conformidade da VMware para obter mais detalhes e https://status.vmware-services.io para conferir o status atualizado.

WorkSpaces

Para a experiência do Windows 7 em clientes do Windows Server 2008 R2:

A Microsoft lançou novas atualizações de segurança para o Windows Server 2008 R2 para esse problema. A aplicação bem-sucedida dessas atualizações requer um software de antivírus compatível em execução no servidor, conforme descrito na atualização de segurança da Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Os clientes do WorkSpaces precisam tomar medidas para obter essas atualizações. Siga as instruções fornecidas pela Microsoft em: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Para a experiência do Windows 10 em clientes do Windows Server 2016:

A AWS aplicou atualizações de segurança aos WorkSpaces que executam a experiência do Windows 10 no Windows Server 2016. O Windows 10 foi incorporado no software Windows Defender AntiVirus, compatível com essas atualizações de segurança. O usuário não precisa executar mais nenhuma ação.

Para BYOL e clientes com configurações de atualização padrão modificadas:

Observe que os clientes que usam o recurso Bring Your Own License (BYOL) do WorkSpaces e os clientes que alteraram as configurações de atualização padrão em seus WorkSpaces devem aplicar manualmente as atualizações de segurança fornecidas pela Microsoft. Se é o seu caso, siga as instruções fornecidas pelo boletim de segurança da Microsoft em https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. O comunicado de segurança inclui links para artigos da base de conhecimento para os sistemas operacionais Windows Server e Client que fornecem informações específicas adicionais.

Pacotes atualizados do WorkSpaces estarão disponíveis em breve junto com as atualizações de segurança. Os clientes que criaram pacotes personalizados devem atualizar seus pacotes por conta própria para incluir as atualizações de segurança. Quaisquer novos WorkSpaces lançados a partir de pacotes que não possuem as atualizações receberão correções logo após a execução, a menos que os clientes alterem a configuração padrão de atualização em seus WorkSpaces ou instalem software antivírus incompatível. Nesse caso, eles devem seguir as etapas acima para aplicar manualmente a segurança atualizações fornecidas pela Microsoft.

WorkSpaces Application Manager (WAM)

Recomendamos que os clientes escolham um dos seguintes planos de ação:

Opção 1: aplique manualmente as atualizações da Microsoft nas instâncias em execução do WAM Packager e Validator, seguindo as etapas fornecidas pela Microsoft em https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Essa página fornece mais instruções e downloads relevantes.

Opção 2: encerre suas instâncias existentes do Packager e do Validator. Execute novas instâncias usando nossas AMIs atualizadas, identificadas como "Amazon WAM Admin Studio 1.5.1" e "Amazon WAM Admin Player 1.5.1".