Você está visualizando uma versão anterior deste boletim de segurança. Para acessar a versão mais atual, visite: "Divulgação da pesquisa sobre execução especulativa do processador".
Referente a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Atualização a partir de: 17/01/2018 12:00 PST
Esta é uma atualização para esse problema.
Um kernel atualizado para o Amazon Linux está disponível nos repositórios do Amazon Linux. Instâncias do EC2 executadas com a configuração padrão do Amazon Linux a partir de 13 de janeiro de 2018 incluirão automaticamente o pacote atualizado, que incorpora as melhorias estáveis de segurança mais recentes do Linux de software livre para tratar da CVE-2017-5715 no kernel e se baseia no Kernel Page Table Isolation (KPTI) previamente incorporado que solucionou a CVE-2017-5754. Os clientes precisam atualizar para o kernel ou a AMI do Amazon Linux mais recente para atenuar efetivamente as preocupações processo a processo da CVE-2017-5715 e entre processo e kernel da CVE-2017-5754 em suas instâncias. Consulte “Execução especulativa do processador – atualizações do sistema operacional” para obter mais informações.
Consulte as informações de "Orientação de instâncias PV", mais abaixo, sobre instâncias paravirtualizadas (PV).
Amazon EC2
Todas as instâncias da frota do Amazon EC2 estão protegidas contra todas as preocupações instância a instância conhecidas da CVE-2017-5715, da CVE-2017-5753 e da CVE-2017-5754. As preocupações instância a instância pressupõem que uma instância vizinha não confiável possa ler a memória de outra instância ou do hipervisor da AWS. Esse problema foi solucionado para os hipervisores da AWS, e nenhuma instância pode ler a memória de outra, nem ler a memória do hipervisor da AWS. Como afirmado anteriormente, não observamos impacto significativo sobre desempenho para a grande maioria das cargas de trabalho do EC2.
Identificamos um pequeno número de falhas de instância e aplicativo causadas pelas atualizações de microcódigo da Intel e estamos trabalhando diretamente com os clientes afetados. Acabamos de desativar partes do novo microcódigo da CPU Intel para as plataformas da AWS onde estávamos vendo esses problemas. Isso parece atenuar o problema dessas instâncias. Todas as instâncias da frota do Amazon EC2 permanecem protegidas de todos os vetores de ameaças conhecidos. O microcódigo Intel desativado forneceu proteções adicionais contra vetores de ameaças teóricos da edição CVE-2017-5715. Esperamos reativar essas proteções adicionais (juntamente com algumas otimizações de desempenho adicionais em que estamos trabalhando) assim que a Intel fornecer microcódigo atualizado, em um futuro próximo.
Ações recomendadas do cliente para o AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail
Embora todas as instâncias dos clientes estejam protegidas conforme descrito acima, recomendamos que os clientes apliquem correções nos sistemas operacionais de suas instância para solucionar as preocupações processo a processo ou entre processo e kernel desse problema. Consulte “Execução especulativa do processador – atualizações do sistema operacional” para obter mais orientações e instruções para o Amazon Linux e Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE e Ubuntu.
Orientação para instâncias PV
Após uma pesquisa em andamento e análise detalhada das correções de sistema operacional disponíveis para esse problema, determinamos que as proteções do sistema operacional são insuficientes para solucionar as preocupações processo a processo em instâncias paravirtualizadas (PV). Embora as instâncias PV sejam protegidas pelos hipervisores da AWS contra quaisquer preocupações instância a instância, conforme descrito acima, recomendamos que os clientes preocupados com o isolamento de processos em suas instâncias PV (por exemplo, processar dados não confiáveis, executar código não confiável, hospedar usuários não confiáveis) migrem para tipos de instância HVM para obter benefícios de segurança a longo prazo.
Para obter mais informações sobre as diferenças entre PV e HVM (bem como a documentação do roteiro de atualização de instâncias), consulte:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Entre em contato com Suporte se precisar de ajuda com um roteiro de atualização para qualquer instância de PV.
Atualizações em outros serviços da AWS
Os seguintes serviços exigiram o aplicação de correções em instâncias do EC2 gerenciadas em nome dos clientes. Todo o trabalho foi concluído, e nenhuma ação do cliente é necessária:
- Fargate
- Lambda
A menos que discutido de outra forma abaixo, todos os outros serviços da AWS não exigem ação por parte do cliente.
AMI otimizada para o ECS
Lançamos a AMI otimizada para o Amazon ECS, versão 2017.09.f, que incorpora todas as proteções do Amazon Linux para esse problema, incluindo a segunda atualização de kernel do Amazon Linux mencionada acima. Aconselhamos todos os clientes do Amazon ECS a atualizar para essa versão mais recente, disponível no AWS Marketplace. Continuaremos a incorporar as melhorias do Amazon Linux assim que estiverem disponíveis.
Os clientes que optarem por atualizar as instâncias existentes da AMI otimizada para o ECS devem executar o seguinte comando para garantir o recebimento do pacote atualizado:
sudo yum update kernel
Como é padrão em qualquer atualização do kernel do Linux, após a conclusão da atualização usando o comando yum, é necessária uma reinicialização para que as atualizações entrem em vigor.
Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor de qualquer sistema operacional, software ou AMI alternativo/de terceiros para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Amazon Linux AMI Security Center.
Lançamos a versão da AMI Windows otimizada para o Amazon ECS 2018.01.10. Para obter detalhes sobre como aplicar correções às instâncias em execução, consulte "Execução especulativa do processador – atualizações do sistema operacional".
Elastic Beanstalk
Atualizamos todas as plataformas baseadas em Linux para incluir todas as proteções do Amazon Linux para esse problema. Consulte as notas de lançamento para versões específicas da plataforma. Aconselhamos os clientes do Elastic Beanstalk a atualizar seus ambientes para a versão mais recente da plataforma disponível. Os ambientes que usam Atualizações gerenciadas serão atualizados automaticamente durante a janela de manutenção configurada.
As plataformas baseadas em Windows também foram atualizadas para incluir todas as proteções do EC2 Windows para esse problema. Aconselhamos os clientes a atualizar seus ambientes do Elastic Beanstalk baseados em Windows para a configuração de plataforma disponível mais recente.
ElastiCache
Nós de cache de cliente gerenciados pelo ElastiCache são dedicados a executar apenas um mecanismo de cache para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao ElastiCache, as preocupações entre processo e o kernel ou processo a processo desse problema não representam um risco para os clientes. Ambos mecanismos de cache com suporte pelo ElastiCache não relataram preocupações entre processos conhecidas no momento.
EMR
O Amazon EMR executa clusters de instâncias do Amazon EC2 executando o Amazon Linux em nome dos clientes na conta dele. Os clientes preocupados com o isolamento de processos nas instâncias de seus clusters do Amazon EMR devem atualizar para o kernel do Amazon Linux mais recente, conforme recomendado acima. Estamos no processo de incorporar o mais recente kernel do Amazon Linux em uma nova versão secundária nos ramos 5.11.x e 4.9.x. Os clientes poderão criar novos clusters do Amazon EMR com esses lançamentos. Atualizaremos este boletim assim que esses lançamentos estiverem disponíveis.
Para as versões atuais do Amazon EMR e quaisquer instâncias em execução associadas que os clientes possam ter, recomendamos a atualização para o kernel do Amazon Linux mais recente, conforme recomendado acima. Para novos clusters, os clientes podem usar uma ação de bootstrap para atualizar o kernel do Linux e reiniciar cada instância. Para clusters em execução, os clientes podem facilitar a atualização do kernel do Linux e reiniciar para cada instância em seu cluster de maneira contínua. Observe que a reinicialização de certos processos pode afetar os aplicativos em execução no cluster.
RDS
Instâncias de banco de dados de cliente gerenciadas pelo RDS são dedicadas a executar apenas um mecanismo de banco de dados para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao RDS, as preocupações e kernel ou processo a processo desse problema não representam um risco para os clientes. A maioria dos mecanismos de banco de dados com suporte pelo RDS não relatou preocupações entre processos conhecidas no momento. Detalhes adicionais específicos do mecanismo de banco de dados são fornecidos abaixo e, salvo indicação em contrário, não é necessária nenhuma ação por parte do cliente.
Para o RDS para instâncias de banco de dados do SQL Server, lançaremos correções do sistema operacional e do mecanismo de banco de dados à medida que a Microsoft disponibilizar, permitindo que os clientes atualizem no momento que escolherem. Atualizaremos este boletim quando uma delas tiver sido concluída. Enquanto isso, os clientes que ativaram o CLR (desativado por padrão) devem revisar as orientações da Microsoft sobre como desativar a extensão CLR em https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
Para o RDS PostgreSQL e o Aurora PostgreSQL, as instâncias de banco de dados em execução na configuração padrão atualmente não precisam de ações por parte do cliente. Forneceremos as correções apropriadas para os usuários das extensões plv8 assim que eles forem disponibilizadas. Enquanto isso, os clientes que habilitaram extensões plv8 (desabilitadas por padrão) devem considerar desativá-las e revisar as orientações da V8 em https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Atualmente, as instâncias de banco de dados RDS for MariaDB, RDS for MySQL, Aurora MySQL e RDS for Oracle não exigem ação por parte do cliente.
VMware Cloud on AWS
De acordo com a VMware, “A correção documentada em VMSA-2018-0002 está presente no VMware Cloud on AWS desde o início de dezembro de 2017.”
Consulte o VMware Security & Compliance Blog para obter mais detalhes e https://status.vmware-services.io para conferir o status atualizado.
WorkSpaces
Para a experiência do Windows 7 em clientes do Windows Server 2008 R2:
A Microsoft lançou novas atualizações de segurança para o Windows Server 2008 R2 para esse problema. A aplicação bem sucedida destas atualizações requer um software de antivírus compatível em execução no servidor, conforme descrito na atualização de segurança da Microsoft: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Os clientes do WorkSpaces precisam tomar medidas para obter essas atualizações. Siga as instruções fornecidas pela Microsoft em: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Para a experiência do Windows 10 em clientes do Windows Server 2016:
A AWS aplicou atualizações de segurança aos WorkSpaces que executam a experiência do Windows 10 no Windows Server 2016. O Windows 10 foi incorporado no software Windows Defender AntiVirus, compatível com essas atualizações de segurança. O usuário não precisa executar mais nenhuma ação.
Para BYOL e clientes com configurações de atualização padrão modificadas:
Observe que os clientes que usam o recurso WorkSpaces Bring Your Own License (BYOL) do WorkSpaces e os clientes que alteraram as configurações de atualização padrão em seus WorkSpaces devem aplicar manualmente as atualizações de segurança fornecidas pela Microsoft. Se isso se aplica a você, siga as instruções fornecidas pelo boletim de segurança da Microsoft em https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. O comunicado de segurança inclui links para artigos da base de conhecimento para os sistemas operacionais Windows Server e Client que fornecem informações específicas adicionais.
Pacotes atualizados do WorkSpaces estarão disponíveis com as atualizações de segurança em breve. Os clientes que criaram pacotes personalizados devem atualizar seus pacotes para incluir as atualizações de segurança. Quaisquer novos WorkSpaces lançados a partir de pacotes que não possuem as atualizações receberão correções logo após a execução, a menos que os clientes alterem a configuração padrão de atualização em seus WorkSpaces ou instalem software de antivírus incompatível. Nesse caso, eles devem seguir as etapas acima para aplicar manualmente a segurança atualizações fornecidas pela Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos que os clientes escolham um dos seguintes planos de ação:
Opção 1: aplique manualmente as atualizações da Microsoft nas instâncias em execução do WAM Packager e Validator, seguindo as etapas fornecidas pela Microsoft em https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . Essa página fornece mais instruções e downloads relevantes.
Opção 2: encerre suas instâncias existentes do Packager e do Validator. Execute novas instâncias usando nossas AMIs atualizadas, identificadas como "Amazon WAM Admin Studio 1.5.1" e "Amazon WAM Admin Player 1.5.1".