Você está visualizando uma versão anterior deste boletim de segurança. Para acessar a versão mais atual, visite: "Divulgação da pesquisa sobre execução especulativa do processador".

Referente a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Atualização a partir de: 13/01/2018 10:20 PST

Esta é uma atualização para o problema.

Foi disponibilizada uma segunda versão do kernel para o Amazon Linux, que corrige os erros do KPTI e melhora as atenuações do CVE-2017-5754. Os clientes precisam atualizar para o kernel ou a AMI do Amazon Linux mais recente para reduzir efetivamente as preocupações de processo a processo do CVE-2017-5754 em suas instâncias. Consulte as informações da "Amazon Linux AMI" mais abaixo.  

Consulte as informações de "Orientação de instâncias PV", mais abaixo, sobre instâncias paravirtualizadas (PV).

Amazon EC2

Todas as instâncias da frota do Amazon EC2 estão protegidas contra todas as preocupações conhecidas entre instâncias dos CVEs listados anteriormente. As preocupações entre instâncias pressupõem que uma instância vizinha não confiável possa ler a memória de outra instância ou do hipervisor da AWS. Esse problema foi solucionado para os hipervisores da AWS, e nenhuma instância pode ler a memória de outra, nem pode ler a memória do hipervisor da AWS. Como afirmado anteriormente, não observamos impacto significativo sobre performance para a grande maioria das cargas de trabalho do EC2.

Identificamos um pequeno número de falhas de instância e aplicativo causadas pelas atualizações de microcódigo da Intel e estamos trabalhando diretamente com os clientes afetados. Acabamos de desativar partes do novo microcódigo da CPU Intel para as plataformas da AWS onde estávamos vendo esses problemas. Isso parece atenuar o problema dessas instâncias. Todas as instâncias da frota do Amazon EC2 permanecem protegidas de todos os vetores de ameaças conhecidos. O microcódigo Intel desativado forneceu proteções adicionais contra vetores de ameaças teóricos da edição CVE-2017-5715. Esperamos reativar essas proteções adicionais (juntamente com algumas otimizações de performance adicionais em que estamos trabalhando) assim que a Intel fornecer microcódigo atualizado, em um futuro próximo.

Ações recomendadas do cliente para o AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail

Embora todas as instâncias dos clientes estejam protegidas conforme descrito acima, recomendamos que os clientes apliquem as correções nos sistemas operacionais de suas instância para isolar o software em execução na mesma instância e reduzir as preocupações de processo a processo do CVE-2017-5754. Para obter mais detalhes, consulte as orientações específicas do fornecedor sobre disponibilidade e implantação das correções.

Orientação específica do fornecedor:

Para sistemas operacionais não listados, os clientes devem consultar o sistema operacional ou o fornecedor da AMI para obter atualizações e instruções.

Orientação para instâncias PV

Após uma pesquisa em andamento e análise detalhada das correções de sistema operacional disponíveis para esse problema, determinamos que as proteções do sistema operacional são insuficientes para solucionar as preocupações processo a processo em instâncias paravirtualizadas (PV). Embora as instâncias PV sejam protegidas pelos hipervisores da AWS contra quaisquer preocupações instância a instância, conforme descrito acima, recomendamos que os clientes preocupados com o isolamento de processos em suas instâncias PV (por exemplo, processar dados não confiáveis, executar código não confiável, hospedar usuários não confiáveis) migrem para tipos de instância HVM para obter benefícios de segurança a longo prazo.

Para obter mais informações sobre as diferenças entre PV e HVM (bem como a documentação do roteiro de atualização de instâncias), consulte:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Entre em contato com Suporte se precisar de ajuda com um roteiro de atualização para qualquer instância de PV.

Atualizações em outros serviços da AWS

Os seguintes serviços exigiram o aplicação de correções em instâncias do EC2 gerenciadas em nome dos clientes. Todo o trabalho foi concluído, e nenhuma ação do cliente é necessária:

  • Fargate
  • Lambda

A menos que discutido de outra forma abaixo, todos os demais serviços da AWS não exigem ação por parte do cliente.

AMI Amazon Linux (ID do boletim: ALAS-2018-939)

Um kernel atualizado para o Amazon Linux está disponível nos repositórios do Amazon Linux. Instâncias do EC2 executadas com a configuração padrão do Amazon Linux a partir de 8 de janeiro de 2018 incluirão automaticamente o pacote atualizado, que soluciona bugs do KPTI e aprimora as atenuações para o CVE-2017-5754.

NOTA: Os clientes precisam atualizar para o kernel ou a AMI do Amazon Linux mais recente para efetivamente mitigar o CVE-2017-5754 em suas instâncias. Continuaremos a fornecer melhorias no Amazon Linux e AMIs do Amazon Linux atualizadas, incorporando contribuições da comunidade Linux de código aberto que abordem esse problema assim que estiverem disponíveis.

Os clientes com instâncias existentes da AMI Amazon Linux devem executar o seguinte comando para garantir o recebimento do pacote atualizado:

sudo yum update kernel

Como padrão em qualquer atualização do kernel do Linux, após a conclusão da atualização usando o comando yum, é necessária uma reinicialização para que as atualizações entrem em vigor.

Mais informações sobre este boletim estão disponíveis no Amazon Linux AMI Security Center.

Para o Amazon Linux 2, siga as instruções para o Amazon Linux descritas acima.

Windows no EC2

Atualizamos as AMIs do Windows da AWS. Agora eles estão disponíveis para uso dos clientes, e as AMIs do Windows da AWS têm a correção necessária instalada e as chaves do Registro ativadas.

A Microsoft forneceu correções do Windows para o Server 2008R2, 2012R2 e 2016. As correções estão disponíveis no Windows Update Service para Server 2016 interno. Estamos com informações pendentes da Microsoft sobre a disponibilidade de correções para Server 2003, 2008SP2 e 2012RTM.

Os clientes da AWS que executam instâncias do Windows no EC2 com "Atualizações automáticas" ativadas devem executar atualizações automáticas para baixar e instalar a atualização necessária para o Windows, quando disponível.

Observe que as correções do Server 2008R2 e 2012R2 estão indisponíveis no momento pelo Windows Update, exigindo download manual. A Microsoft informou anteriormente que essas correções estariam disponíveis terça-feira, 9 de janeiro, no entanto, ainda estamos pendentes de informações sobre sua disponibilidade.

Os clientes da AWS que executam instâncias do Windows no EC2 que não têm “Atualizações automáticas” ativadas devem instalar manualmente a atualização necessária quando estiver disponível, seguindo as instruções aqui: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Observe que, para o Windows Server, são necessárias etapas adicionais pela Microsoft para habilitar os recursos de proteção de suas atualizações para esse problema, aqui descrito: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI otimizada para o ECS

Lançamos a AMI otimizada para o Amazon ECS, versão 2017.09.f, que incorpora todas as proteções do Amazon Linux para esse problema, incluindo a segunda atualização de kernel do Amazon Linux mencionada acima. Aconselhamos todos os clientes do Amazon ECS a atualizar para essa versão mais recente, disponível no AWS Marketplace. Continuaremos a incorporar as melhorias do Amazon Linux assim que estiverem disponíveis.

Os clientes que optarem por atualizar as instâncias existentes da AMI otimizada para o ECS devem executar o seguinte comando para garantir o recebimento do pacote atualizado:

sudo yum update kernel

Como é padrão em qualquer atualização do kernel do Linux, após a conclusão da atualização usando o comando yum, é necessária uma reinicialização para que as atualizações entrem em vigor.

Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor de qualquer sistema operacional, software ou AMI alternativo/de terceiros para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Amazon Linux AMI Security Center.

Estamos atualizando a AMI do Windows otimizada para Amazon ECS e atualizaremos este boletim quando estiver disponível. A Microsoft forneceu correções do Windows para o Server 2016. Para obter detalhes sobre como aplicar as correções nas instâncias em execução, consulte https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Elastic Beanstalk

Atualizamos todas as plataformas baseadas em Linux para incluir todas as proteções do Amazon Linux para esse problema. Consulte as notas de lançamento para versões específicas da plataforma. Aconselhamos os clientes do Elastic Beanstalk a atualizar seus ambientes para a versão mais recente da plataforma disponível. Os ambientes que usam Atualizações gerenciadas serão atualizados automaticamente durante a janela de manutenção configurada.

As plataformas baseadas em Windows também foram atualizadas para incluir todas as proteções do EC2 Windows para esse problema. Aconselhamos os clientes a atualizar seus ambientes do Elastic Beanstalk baseados em Windows para a configuração de plataforma disponível mais recente.

ElastiCache

Nós de cache de cliente gerenciados pelo ElastiCache são dedicados a executar apenas um mecanismo de cache para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao ElastiCache, as preocupações entre processo e kernel ou processo a processo desse problema não representam um risco para os clientes. Ambos os mecanismos de cache com suporte pelo ElastiCache não relataram preocupações entre processos conhecidas no momento.

EMR

O Amazon EMR executa clusters de instâncias do Amazon EC2 executando o Amazon Linux em na conta do cliente e em nome dele. Os clientes preocupados com o isolamento de processos nas instâncias de seus clusters do Amazon EMR devem atualizar para o kernel do Amazon Linux mais recente, conforme recomendado acima. Estamos no processo de incorporar o mais recente kernel do Amazon Linux em uma nova versão secundária nos ramos 5.11.x e 4.9.x. Os clientes poderão criar novos clusters do Amazon EMR com esses lançamentos. Atualizaremos este boletim assim que esses lançamentos estiverem disponíveis.

Para as versões atuais do Amazon EMR e quaisquer instâncias em execução associadas que os clientes possam ter, recomendamos a atualização para o kernel do Amazon Linux mais recente, conforme recomendado acima. Para novos clusters, os clientes podem usar uma ação de bootstrap para atualizar o kernel do Linux e reiniciar cada instância. Para clusters em execução, os clientes podem facilitar a atualização do kernel do Linux e reiniciar para cada instância em seu cluster de maneira contínua. Observe que a reinicialização de certos processos pode afetar os aplicativos em execução no cluster.

RDS

Instâncias de banco de dados de cliente gerenciadas pelo RDS são dedicadas a executar apenas um mecanismo de banco de dados para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar o código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao RDS, as preocupações entre processo e kernel ou entre processos desse problema não representam um risco para os clientes. A maioria dos mecanismos de banco de dados com suporte pelo RDS não relatou preocupações intraprocessuais conhecidas no momento. Detalhes adicionais específicos do mecanismo de banco de dados são fornecidos abaixo e, salvo indicação em contrário, não é necessária nenhuma ação por parte do cliente.

Para o RDS para instâncias de banco de dados do SQL Server, lançaremos correções do sistema operacional e do mecanismo de banco de dados à medida que a Microsoft disponibilizar, permitindo que os clientes façam a atualização no momento desejado. Atualizaremos este boletim quando uma delas tiver sido concluída. Enquanto isso, os clientes que ativaram o CLR (desativado por padrão) devem revisar as orientações da Microsoft sobre como desativar a extensão CLR em https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.

Para o RDS PostgreSQL e o Aurora PostgreSQL, as instâncias de banco de dados em execução na configuração padrão atualmente não precisam de ações por parte do cliente. Forneceremos as correções apropriadas para os usuários das extensões plv8 assim que elas forem disponibilizadas. Enquanto isso, os clientes que habilitaram extensões plv8 (desabilitadas por padrão) devem considerar desativá-las e revisar as orientações da V8 em https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Atualmente, as instâncias de banco de dados RDS for MariaDB, RDS for MySQL, Aurora MySQL e RDS for Oracle não exigem ação por parte do cliente.

VMware Cloud on AWS

De acordo com a VMware, “A correção documentada em VMSA-2018-0002 está presente no VMware Cloud on AWS desde o início de dezembro de 2017.”

Consulte o VMware Security & Compliance Blog para obter mais detalhes e https://status.vmware-services.io para conferir o status atualizado.

WorkSpaces

A AWS aplicará as atualizações de segurança lançadas pela Microsoft na maioria dos AWS WorkSpaces no próximo fim de semana. Os clientes devem esperar que os seus WorkSpaces sejam reinicializados durante esse período.

Os clientes Bring Your Own License (BYOL – Traga sua própria licença) e os clientes que alteraram a configuração de atualização padrão em seus WorkSpaces devem aplicar manualmente as atualizações de segurança fornecidas pela Microsoft.

Siga as instruções apresentadas no comunicado de segurança da Microsoft em https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. O comunicado de segurança inclui links para artigos da base de conhecimento para os sistemas operacionais Windows Server e Client que fornecem informações específicas adicionais.

Pacotes atualizados do WorkSpaces estarão disponíveis em breve junto com as atualizações de segurança. Os clientes que criaram pacotes personalizados devem atualizar seus pacotes por conta própria para incluir as atualizações de segurança. Quaisquer novos WorkSpaces lançados a partir de pacotes que não possuam as atualizações receberão correções logo após o lançamento, a menos que o cliente tenha alterado a configuração padrão de atualização em seus WorkSpaces. Nesse caso, ele deve seguir as etapas acima para aplicar manualmente as atualizações de segurança fornecidas pela Microsoft.

WorkSpaces Application Manager (WAM)

Recomendamos que os clientes escolham um dos seguintes planos de ação:

Opção 1: aplique manualmente as correções da Microsoft nas instâncias em execução do WAM Packager e Validator, seguindo as etapas apresentadas pela Microsoft em https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Essa página apresenta mais instruções e downloads para o Windows Server.

Opção 2: recrie novas instâncias do EC2 do WAM Packager e Validator a partir de AMIs atualizadas para o WAM Packager e Validator, que estarão disponíveis no final do dia (04/01/2018).