Você está visualizando uma versão anterior deste boletim de segurança. Para acessar a versão mais atual, visite: "Divulgação da pesquisa sobre execução especulativa do processador".
Referente a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Atualização a partir de: 05/01/2018 21:00 PST
Esta é uma atualização para o problema.
Amazon EC2
Todas as instâncias da frota do Amazon EC2 estão protegidas contra todas os vetores conhecidos de ameaças dos CVEs listados anteriormente. As instâncias dos clientes são protegidas contra essas ameaças de outras instâncias. Não observamos impacto significativo no desempenho para a grande maioria das cargas de trabalho do EC2.
Ações recomendadas do cliente para o AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail
Embora todas as instâncias do cliente estejam protegidas, recomendamos que os clientes corrijam os sistemas operacionais da instância. Isso fortalecerá as proteções que esses sistemas operacionais oferecem para isolar o software em execução na mesma instância. Para obter mais detalhes, consulte as orientações específicas do fornecedor sobre disponibilidade e implantação de correções.
Orientação específica do fornecedor:
- Amazon Linux – Mais detalhes estão abaixo.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Para sistemas operacionais não listados, os clientes devem consultar o sistema operacional ou o fornecedor da AMI para obter atualizações e instruções.
Atualizações em outros serviços da AWS
Amazon Linux AMI (ID do boletim: ALAS-2018-939)
Um kernel atualizado para o Amazon Linux está disponível nos repositórios do Amazon Linux. Instâncias do EC2 executadas com a configuração padrão do Amazon Linux a partir das 22h45 (GMT) de 3 de janeiro de 2018 incluirão automaticamente o pacote atualizado. Os clientes com instâncias existentes da AMI Amazon Linux devem executar o seguinte comando para garantir o recebimento do pacote atualizado:
sudo yum update kernel
Após a conclusão da atualização do yum, é necessária uma reinicialização para que as atualizações entrem em vigor.
Mais informações sobre este boletim estão disponíveis no Centro de Segurança Amazon Linux AMI.
EC2 do Windows
Estamos atualizando a AMI do Servidor Windows padrão e atualizaremos este boletim quando estiver disponível.
AMI otimizada para o ECS
Lançamos a AMI otimizada para o Amazon ECS, versão 2017.09.e, que incorpora todas as proteções do Amazon Linux para esse problema. Aconselhamos que todos os clientes do Amazon ECS façam a atualização para a versão mais recente, disponível no AWS Marketplace. Os clientes que optarem por atualizar as instâncias existentes no local devem executar o seguinte comando em cada instância de contêiner:
sudo yum update kernel
A atualização requer a reinicialização da instância de contêiner para ser concluída
Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor de qualquer sistema operacional, software ou AMI alternativa/de terceiros para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Centro de Segurança do Amazon Linux AMI.
Um Microsoft Windows EC2 atualizado e AMI otimizada para ECS serão lançados à medida que as correções da Microsoft estiverem disponíveis.
Elastic Beanstalk
Lançaremos novas versões da plataforma, que incluem atualização de kernel para solucionar o problema em até 48 horas. Para ambientes Linux, recomendamos que você habilite o “Managed Platform Updates” para atualizar automaticamente dentro da janela de manutenção escolhida assim que as atualizações estiverem disponíveis. Publicaremos instruções para ambientes Windows assim que a atualização estiver disponível.
AWS Fargate
Toda a infraestrutura que executa as tarefas do Fargate foi corrigida conforme descrito acima e nenhuma ação do cliente é necessária.
Amazon FreeRTOS
Não há atualizações necessárias ou aplicáveis ao Amazon FreeRTOS e seus processadores ARM suportados.
AWS Lambda
Toda as instâncias que executam funções do Lambda foram corrigidas, conforme descrito acima, e não é necessária nenhuma ação pelo cliente.
RDS
Instâncias de banco de dados de cliente gerenciadas pelo RDS são dedicadas a executar apenas um mecanismo de banco de dados para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar o código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao RDS, as preocupações entre processo e kernel ou entre processos desse problema não representam um risco para os clientes. A maioria dos mecanismos de banco de dados com suporte pelo RDS não relatou preocupações intraprocessuais conhecidas no momento. Detalhes adicionais específicos do mecanismo do banco de dados são apresentados abaixo e, salvo indicação em contrário, não é necessária nenhuma ação por parte do cliente. Atualizaremos este boletim à medida que mais informações estiverem disponíveis.
Atualmente, as instâncias de banco de dados RDS for MariaDB, RDS for MySQL, Aurora MySQL e RDS for Oracle não exigem ações por parte do cliente.
Para o RDS PostgreSQL e o Aurora PostgreSQL, as instâncias de banco de dados em execução na configuração padrão atualmente não precisam de ações por parte do cliente. Forneceremos as correções apropriadas para os usuários das extensões plv8 assim que elas forem disponibilizadas. Enquanto isso, os clientes que habilitaram extensões plv8 (desabilitadas por padrão) devem considerar desativá-las e revisar as orientações da V8 em https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Para o RDS das instâncias de Banco de Dados do SQL Server, lançaremos correções do sistema operacional e do mecanismo de banco de dados à medida que a Microsoft disponibilizar, permitindo que os clientes façam a atualização no momento desejado. Atualizaremos este boletim quando uma delas tiver sido concluída. Enquanto isso, os clientes que ativaram o CLR (desativado por padrão) devem analisar as orientações da Microsoft sobre como desativar a extensão CLR em https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Consulte o comunicado de segurança da VMware aqui para obter mais detalhes: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
A AWS aplicará as atualizações de segurança lançadas pela Microsoft na maioria dos AWS WorkSpaces no próximo fim de semana. Os clientes devem esperar que os seus WorkSpaces sejam reinicializados durante esse período.
Os clientes Bring Your Own License (BYOL – Traga sua própria licença) e os clientes que alteraram a configuração de atualização padrão em seus WorkSpaces devem aplicar manualmente as atualizações de segurança fornecidas pela Microsoft.
Siga as instruções apresentadas no comunicado de segurança da Microsoft em https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. O comunicado de segurança inclui links para artigos de base para os sistemas operacionais Windows Server e Client e que apresentam informações específicas adicionais.
Pacotes atualizados do WorkSpaces estarão disponíveis em breve junto com as atualizações de segurança. Os clientes que criaram pacotes personalizados devem atualizar seus pacotes por conta própria para incluir as atualizações de segurança. Quaisquer novos WorkSpaces lançados a partir de pacotes que não possuam as atualizações receberão correções logo após o lançamento, a menos que o cliente tenha alterado a configuração padrão de atualização em seus WorkSpaces. Nesse caso, ele deve seguir as etapas acima para aplicar manualmente as atualizações de segurança fornecidas pela Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos que os clientes escolham um dos seguintes planos de ação:
Opção 1: aplique manualmente as correções da Microsoft nas instâncias em execução do WAM Packager e Validator, seguindo as etapas apresentadas pela Microsoft em https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. Essa página apresenta mais instruções e downloads para o Windows Server.
Opção 2: recrie novas instâncias do WAM Packager e Validator EC2 a partir de AMIs atualizadas para o WAM Packager e Validator, que estarão disponíveis no final do dia (04/01/2018).