Você está visualizando uma versão anterior deste boletim de segurança. Para acessar a versão mais atual, visite: "Divulgação da pesquisa sobre execução especulativa do processador".
Referente a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Atualização a partir de: 05/01/2018 13:30 PST
Esta é uma atualização para o problema.
Amazon EC2
Todas as instâncias da frota do Amazon EC2 estão protegidas contra todos os vetores de ameaças dos CVEs listados anteriormente. As instâncias dos clientes são protegidas contra essas ameaças de outras instâncias. Não observamos impacto significativo sobre desempenho para a grande maioria das cargas de trabalho do EC2.
Ações recomendadas do cliente para o AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail
Embora todas as instâncias do cliente estejam protegidas, recomendamos que os clientes corrijam seus sistemas operacionais. Isso fortalecerá as proteções que esses sistemas operacionais fornecem para isolar o software em execução na mesma instância. Para obter mais detalhes, consulte as orientações específicas do fornecedor sobre disponibilidade e implantação de correções.
Orientação específica do fornecedor:
- Amazon Linux – mais detalhes estão abaixo.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Para sistemas operacionais não listados, os clientes devem consultar o sistema operacional ou o fornecedor da AMI para obter atualizações e instruções.
Atualizações em outros serviços da AWS
AMI Amazon Linux (ID do boletim: ALAS-2018-939)
Um kernel atualizado para o Amazon Linux está disponível nos repositórios do Amazon Linux. Instâncias EC2 executadas com a configuração padrão do Amazon Linux a partir das 22:45 (GMT) de 3 de janeiro de 2018 incluirão automaticamente o pacote atualizado. Os clientes com instâncias existentes da AMI Amazon Linux devem executar o seguinte comando para garantir que receberão os pacotes atualizados:
sudo yum update kernel
Após a conclusão da atualização usando o comando yum, é necessária uma reinicialização para que as atualizações entrem em vigor.
Mais informações sobre este boletim estão disponíveis no Amazon Linux AMI Security Center.
Windows no EC2
Estamos atualizando a AMI do Windows Server padrão e atualizaremos este boletim quando estiver disponível.
AMI otimizada para o ECS
Lançamos a AMI otimizada para o Amazon ECS, versão 2017.09.e, que incorpora todas as proteções do Amazon Linux para esse problema. Aconselhamos todos os clientes do Amazon ECS a atualizar para essa versão mais recente, disponível no AWS Marketplace. Os clientes que optarem por atualizar as instâncias existentes no local devem executar o seguinte comando em cada instância do contêiner:
sudo yum update kernel
A atualização requer uma reinicialização da instância do contêiner para concluir
Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor de qualquer sistema operacional, software ou AMI alternativo/de terceiros para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Amazon Linux AMI Security Center.
Atualizações do Microsoft Windows EC2 e AMI otimizado para ECS serão lançadas à medida que as correções da Microsoft estiverem disponíveis.
Elastic Beanstalk
Lançaremos novas versões da plataforma, que incluem atualização de kernel para solucionar esse problema em 48 horas. Para ambientes Linux, recomendamos que você habilite o “Managed Platform Updates” para atualizar automaticamente dentro da janela de manutenção escolhida uma vez que as atualizações estejam disponíveis. Enviaremos instruções para ambientes Windows uma vez que a atualização esteja disponível.
AWS Fargate
Toda a infraestrutura que executa as tarefas do Fargate foi corrigida conforme descrito acima e nenhuma ação do cliente é necessária.
Amazon FreeRTOS
Não há atualizações necessárias ou aplicáveis ao Amazon FreeRTOS e seus processadores ARM suportados.
AWS Lambda
Toda as instâncias que executam funções do Lambda foram corrigidas conforme descrito acima e nenhuma ação do cliente é necessária.
VMware Cloud on AWS
Consulte o comunicado de segurança da VMware aqui para obter mais detalhes: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
A AWS aplicará as atualizações de segurança lançadas pela Microsoft na maioria dos AWS WorkSpaces no próximo fim de semana. Os clientes devem esperar que os seus WorkSpaces sejam reinicializados durante esse período.
Os clientes do Bring Your Own License (BYOL) do WorkSpaces e os que alteraram as configurações de atualização padrão em seus WorkSpaces devem aplicar manualmente as atualizações de segurança fornecidas pela Microsoft.
Siga as instruções fornecidas pelo boletim de segurança da Microsoft em https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. O comunicado de segurança inclui links para artigos da base de conhecimento para os sistemas operacionais Windows Server e Client que fornecem informações específicas adicionais.
Pacotes atualizados do WorkSpaces estarão disponíveis com as atualizações de segurança em breve. Os clientes que criaram pacotes personalizados devem atualizar seus pacotes para incluir as atualizações de segurança. Quaisquer novos WorkSpaces lançados a partir de pacotes que não possuem as atualizações receberão correções logo após a execução, a menos que os clientes alterem a configuração padrão de atualização em seus WorkSpaces. Nesse caso, eles devem seguir as etapas acima para aplicar manualmente a segurança atualizações fornecidas pela Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos que os clientes escolham um dos seguintes planos de ação:
Opção 1: aplique manualmente as correções da Microsoft nas instâncias em execução do WAM Packager e Validator, seguindo as etapas fornecidas pela Microsoft em https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . Essa página fornece mais instruções e downloads para o Windows Server.
Opção 2: recrie novas instâncias do WAM Packager e Validator EC2 a partir de AMIs atualizadas para o WAM Packager e Validator, que estarão disponíveis no final do dia (04/01/2018).