Você está visualizando uma versão anterior deste boletim de segurança. Para acessar a versão mais atualizada, visite: "Divulgação da pesquisa sobre execução especulativa do processador".
Referente a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Atualização a partir de: 07/01/2018 11:30 PST
Esta é uma atualização para esse problema.
Amazon EC2
Todas as instâncias da frota do Amazon EC2 estão protegidas contra todos os vetores de ameaças dos CVEs listados anteriormente. As instâncias dos clientes são protegidas contra essas ameaças de outras instâncias. Não observamos impacto significativo sobre desempenho para a grande maioria das cargas de trabalho do EC2.
Ações recomendadas do cliente para o AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail
Embora todas as instâncias do cliente estejam protegidas, recomendamos que os clientes corrijam seus sistemas operacionais. Isso fortalecerá as proteções que esses sistemas operacionais fornecem para isolar o software em execução na mesma instância. Para obter mais detalhes, consulte as orientações específicas do fornecedor sobre disponibilidade e implantação de correções.
Orientação específica do fornecedor:
- Amazon Linux – Mais detalhes estão abaixo.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Para sistemas operacionais não listados, os clientes devem consultar o fornecedor de seu sistema operacional ou da AMI para obter atualizações e instruções.
Atualizações em outros serviços da AWS
AMI Amazon Linux (ID do boletim: ALAS-2018-939)
Um kernel atualizado para o Amazon Linux está disponível nos repositórios do Amazon Linux. Instâncias EC2 executadas com a configuração padrão do Amazon Linux a partir das 22:45 (GMT) de 3 de janeiro de 2018 incluirão automaticamente o pacote atualizado. Os clientes com instâncias existentes da AMI Amazon Linux devem executar o seguinte comando para garantir que receberão os pacotes atualizados:
sudo yum update kernel
Após a conclusão da atualização usando o comando yum, é necessária uma reinicialização para que as atualizações entrem em vigor.
Mais informações sobre este boletim estão disponíveis no Amazon Linux AMI Security Center.
Windows no EC2
Atualizamos as AMIs do Windows da AWS. Agora elas estão disponíveis para uso dos clientes, e as AMIs do Windows da AWS têm a correção necessária instalada e as chaves do Registro ativadas.
A Microsoft forneceu correções do Windows para o Server 2008R2, 2012R2 e 2016. As correções estão disponíveis no Windows Update Service para Server 2016 interno. Estamos com informações pendentes da Microsoft sobre a disponibilidade de correções para Server 2003, 2008SP2 e 2012RTM.
Os clientes da AWS que executam instâncias do Windows no EC2 com "Atualizações automáticas" ativadas devem executar atualizações automáticas para baixar e instalar a atualização necessária para o Windows, quando disponível.
Observe que as correções do Server 2008R2 e 2012R2 estão indisponíveis no momento pelo Windows Update, exigindo download manual. A Microsoft informou que essas correções estarão disponíveis na terça-feira, 9 de janeiro.
Os clientes da AWS que executam instâncias do Windows no EC2 que não têm “Atualizações automáticas” ativadas devem instalar manualmente a atualização necessária quando estiver disponível, seguindo as instruções aqui: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Observe que, para o Windows Server, são necessárias etapas adicionais pela Microsoft para habilitar os recursos de proteção de suas atualizações para esse problema, aqui descrito: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI otimizada para o ECS
Lançamos a AMI otimizada para o Amazon ECS, versão 2017.09.e, que incorpora todas as proteções do Amazon Linux para esse problema. Aconselhamos todos os clientes do Amazon ECS a atualizar para essa versão mais recente, disponível no AWS Marketplace. Os clientes que optarem por atualizar as instâncias existentes no local devem executar o seguinte comando em cada instância de contêiner:
sudo yum update kernel
A atualização requer uma reinicialização da instância de contêiner para concluir
Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor de qualquer sistema operacional, software ou AMI alternativo/de terceiros para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Amazon Linux AMI Security Center.
Atualizações do Microsoft Windows EC2 e AMI otimizada para ECS serão lançadas à medida que as correções da Microsoft estiverem disponíveis.
Elastic Beanstalk
Lançaremos novas versões da plataforma, que incluem atualização de kernel para solucionar esse problema em 48 horas. Para ambientes Linux, recomendamos que você habilite as “Atualizações de plataforma gerenciadas” para atualizar automaticamente, dentro da janela de manutenção escolhida, uma vez que as atualizações estejam disponíveis. Enviaremos instruções para ambientes Windows uma vez que a atualização esteja disponível.
AWS Fargate
Toda a infraestrutura que executa as tarefas do Fargate foi corrigida conforme descrito acima e nenhuma ação do cliente é necessária.
Amazon FreeRTOS
Não há atualizações necessárias ou aplicáveis ao Amazon FreeRTOS e seus processadores ARM suportados.
AWS Lambda
Toda as instâncias que executam funções do Lambda foram corrigidas conforme descrito acima e nenhuma ação do cliente é necessária.
RDS
Instâncias de banco de dados de cliente gerenciadas pelo RDS são dedicadas a executar apenas um mecanismo de banco de dados para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao RDS, as preocupações entre processo e kernel ou processo a processo desse problema não representam um risco para os clientes. A maioria dos mecanismos de banco de dados com suporte pelo RDS não relatou preocupações entre processos conhecidas no momento. Detalhes adicionais específicos do mecanismo de banco de dados são fornecidos abaixo e, salvo indicação em contrário, não é necessária nenhuma ação por parte do cliente. Atualizaremos este boletim à medida que mais informações estiverem disponíveis.
Atualmente, as instâncias de banco de dados RDS for MariaDB, RDS for MySQL, Aurora MySQL e RDS for Oracle não exigem ação por parte do cliente.
Para o RDS PostgreSQL e o Aurora PostgreSQL, as instâncias de banco de dados em execução na configuração padrão atualmente não precisam de ações por parte do cliente. Forneceremos as correções apropriadas para os usuários das extensões plv8 assim que elas forem disponibilizadas. Enquanto isso, os clientes que habilitaram extensões plv8 (desabilitadas por padrão) devem considerar desativá-las e revisar as orientações da V8 em https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Para o RDS para instâncias de Banco de Dados do SQL Server, lançaremos correções do sistema operacional e do mecanismo de banco de dados à medida que a Microsoft disponibilizar, permitindo que os clientes atualizem no momento que escolherem. Atualizaremos este boletim quando uma delas tiver sido concluída. Enquanto isso, os clientes que ativaram o CLR (desativado por padrão) devem revisar as orientações da Microsoft sobre como desativar a extensão CLR em https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Consulte o comunicado de segurança da VMware aqui para obter mais detalhes: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
A AWS aplicará as atualizações de segurança lançadas pela Microsoft na maioria dos AWS WorkSpaces no próximo fim de semana. Os clientes devem esperar que os seus WorkSpaces sejam reinicializados durante esse período.
Os clientes do Bring Your Own License (BYOL) e os que alteraram as configurações de atualização padrão em seus WorkSpaces devem aplicar manualmente as atualizações de segurança fornecidas pela Microsoft.
Siga as instruções fornecidas pelo boletim de segurança da Microsoft em https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. O comunicado de segurança inclui links para artigos da base de conhecimento para os sistemas operacionais Windows Server e Client e que fornecem informações específicas adicionais.
Pacotes atualizados do WorkSpaces estarão disponíveis com as atualizações de segurança em breve. Os clientes que criaram pacotes personalizados devem atualizar seus pacotes para incluir as atualizações de segurança. Quaisquer novos WorkSpaces lançados a partir de pacotes que não possuam as atualizações receberão correções logo após a execução, a menos que os clientes alterem a configuração padrão de atualização em seus WorkSpaces. Nesse caso, eles devem seguir as etapas acima para aplicar manualmente a segurança atualizações fornecidas pela Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos que os clientes escolham um dos seguintes planos de ação:
Opção 1: aplique manualmente as correções da Microsoft nas instâncias em execução do WAM Packager e Validator, seguindo as etapas fornecidas pela Microsoft em https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . Essa página fornece mais instruções e downloads para o Windows Server.
Opção 2: recrie novas instâncias do WAM Packager e Validator EC2 a partir de AMIs atualizadas para o WAM Packager e Validator, que estarão disponíveis no final do dia (04/01/2018).