Você está visualizando uma versão anterior deste boletim de segurança. Para acessar a versão mais atual, visite: "Divulgação da pesquisa sobre execução especulativa do processador".
Referente a: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Atualização a partir de: 08/01/2018 14:25 PST
Esta é uma atualização para o problema.
Amazon EC2
Todas as instâncias da frota do Amazon EC2 estão protegidas contra todas os vetores de ameaças dos CVEs listados anteriormente. As instâncias dos clientes são protegidas contra essas ameaças de outras instâncias. Não observamos impacto significativo sobre desempenho para a grande maioria das cargas de trabalho do EC2.
Ações recomendadas do cliente para o AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce e Amazon Lightsail
Embora todas as instâncias do cliente estejam protegidas, recomendamos que os clientes corrijam seus sistemas operacionais. Isso fortalecerá as proteções que esses sistemas operacionais fornecem para isolar o software em execução na mesma instância. Para obter mais detalhes, consulte as orientações específicas do fornecedor sobre disponibilidade e implantação de patches.
Orientação específica do fornecedor:
- Amazon Linux - Mais detalhes estão abaixo.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Para sistemas operacionais não listados, os clientes devem consultar o sistema operacional ou o fornecedor da AMI para obter atualizações e instruções.
Atualizações em outros serviços da AWS
AMI Amazon Linux (ID do boletim: ALAS-2018-939)
Um kernel atualizado para o Amazon Linux está disponível nos repositórios do Amazon Linux. Instâncias EC2 executadas com a configuração padrão do Amazon Linux a partir das 22h45 (GMT) de 3 de janeiro de 2018 incluirão automaticamente o pacote atualizado. Os clientes com instâncias existentes da AMI Amazon Linux devem executar o seguinte comando para garantir que receberão os pacotes atualizados:
sudo yum update kernel
Após a conclusão da atualização yum, é necessária uma reinicialização para que as atualizações entrem em vigor.
Mais informações sobre este boletim estão disponíveis no Amazon Linux AMI Security Center.
Windows no EC2
Atualizamos as AMIs do Windows da AWS. Agora eles estão disponíveis para uso dos clientes, e as AMIs do Windows da AWS têm o patch necessário instalado e as chaves do Registro ativadas.
A Microsoft forneceu patches do Windows para o Server 2008R2, 2012R2 e 2016. Os patches estão disponíveis no Windows Update Service para Server 2016 interno. Estamos com informações pendentes da Microsoft sobre a disponibilidade de patches para Server 2003, 2008SP2 e 2012RTM.
Os clientes da AWS que executam instâncias do Windows no EC2 com "Atualizações automáticas" ativadas devem executar atualizações automáticas para baixar e instalar a atualização necessária para o Windows, quando disponível.
Observe que os patches Server 2008R2 e 2012R2 estão indisponíveis no momento pelo Windows Update, exigindo download manual. A Microsoft informou que esses patches estarão disponíveis na terça-feira, 9 de janeiro.
Os clientes da AWS que executam instâncias do Windows no EC2 que não têm “Atualizações automáticas” ativadas devem instalar manualmente a atualização necessária quando estiver disponível, seguindo as instruções aqui: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Observe que, para o Windows Server, são necessárias etapas adicionais pela Microsoft para habilitar os recursos de proteção de suas atualizações para esse problema, aqui descrito: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI otimizada para o ECS
Lançamos a AMI otimizada para o Amazon ECS, versão 2017.09.e, que incorpora todas as proteções do Amazon Linux para esse problema. Aconselhamos todos os clientes do Amazon ECS a atualizar para essa versão mais recente, disponível no AWS Marketplace. Os clientes que optarem por atualizar as instâncias existentes no local devem executar o seguinte comando em cada instância do contêiner:
sudo yum update kernel
A atualização requer uma reinicialização da instância do contêiner para concluir
Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor de qualquer sistema operacional, software ou AMI alternativo/de terceiros para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Amazon Linux AMI Security Center.
Um Microsoft Windows EC2 e AMI otimizado para ECS serão lançados à medida que os patches da Microsoft estiverem disponíveis.
Elastic Beanstalk
Atualizamos todas as plataformas baseadas em Linux para incluir as proteções originais do Amazon Linux para esse problema. Consulte as notas de release para versões específicas da plataforma. Os clientes são incentivados a atualizar seus ambientes. Os ambientes que usam Atualizações gerenciadas serão atualizados automaticamente durante a janela de manutenção configurada.
A equipe do Elastic Beanstalk continua a trabalhar nas atualizações da plataforma Windows. Os clientes do Elastic Beanstalk que usam plataformas baseadas no Windows são incentivados a instalar manualmente as atualizações de segurança disponíveis usando as instruções na seção "Windows EC2" acima deste boletim.
AWS Fargate
Toda a infraestrutura que executa as tarefas do Fargate foi corrigida conforme descrito acima e nenhuma ação do cliente é necessária.
Amazon FreeRTOS
Não há atualizações necessárias ou aplicáveis ao Amazon FreeRTOS e seus processadores ARM suportados.
AWS Lambda
Toda as instâncias que executam funções do Lambda foram corrigidas conforme descrito acima e nenhuma ação do cliente é necessária.
RDS
Instâncias de banco de dados de cliente gerenciadas pelo RDS são dedicadas a executar apenas um mecanismo de banco de dados para um único cliente, sem outros processos acessíveis ao cliente e sem a capacidade do cliente de executar código na instância subjacente. Como a AWS finalizou a proteção de toda a infraestrutura subjacente ao RDS, as preocupações entre processo e núcleo ou entre processos desse problema não representam um risco para os clientes. A maioria dos mecanismos de banco de dados com suporte pelo RDS não relatou preocupações entre processos conhecidas no momento. Detalhes adicionais específicos do mecanismo de banco de dados são fornecidas abaixo e, salvo indicação em contrário, não é necessária nenhuma ação por parte do cliente. Atualizaremos este boletim à medida que mais informações estiverem disponíveis.
Atualmente, as instâncias de banco de dados RDS for MariaDB, RDS for MySQL, Aurora MySQL e RDS for Oracle não exigem ação por parte do cliente.
Para o RDS PostgreSQL e o Aurora PostgreSQL, as instâncias de banco de dados em execução na configuração padrão atualmente não precisam de ações por parte do cliente. Forneceremos os patches apropriados para os usuários das extensões plv8 assim que eles forem disponibilizadas. Enquanto isso, os clientes que habilitaram extensões plv8 (desabilitadas por padrão) devem considerar desativá-las e revisar as orientações da V8 em https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
Para o RDS para instâncias de Banco de Dados do SQL Server, lançaremos correções do sistema operacional e do mecanismo de banco de dados à medida que a Microsoft disponibilizar, permitindo que os clientes atualizem no momento que escolherem. Atualizaremos este boletim quando uma deles tiver sido concluída. Enquanto isso, os clientes que ativaram o CLR (desativado por padrão) devem revisar as orientações da Microsoft sobre como desativar a extensão CLR em https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Consulte o comunicado de segurança da VMware aqui para obter mais detalhes: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
A AWS aplicará as atualizações de segurança lançadas pela Microsoft na maioria dos AWS WorkSpaces no próximo fim de semana. Os clientes devem esperar que os seus WorkSpaces sejam reinicializados durante esse período.
Os clientes do Traga sua própria licença (BYOL) do WorkSpaces e os que alteraram as configurações de atualização padrão em seus WorkSpaces devem aplicar manualmente as atualizações de segurança fornecidas pela Microsoft.
Siga as instruções fornecidas pelo boletim de segurança da Microsoft em https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. O comunicado de segurança inclui links para artigos da base de conhecimento para os sistemas operacionais Windows Server e Client que fornecem informações específicas adicionais.
Pacotes atualizados do WorkSpaces estarão disponíveis com as atualizações de segurança em breve. Os clientes que criaram pacotes personalizados devem atualizar seus pacotes para incluir as atualizações de segurança. Quaisquer novos WorkSpaces lançados a partir de pacotes que não possuem as atualizações receberão patches logo após a execução, a menos que os clientes alterem a configuração padrão de atualização em seus WorkSpaces. Nesse caso, eles devem seguir as etapas acima para aplicar manualmente a segurança atualizações fornecidas pela Microsoft.
WorkSpaces Application Manager (WAM)
Recomendamos que os clientes escolham um dos seguintes planos de ação:
Opção 1: aplique manualmente os patches da Microsoft nas instâncias em execução do WAM Packager e Validator, seguindo as etapas fornecidas pela Microsoft em https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution . Essa página fornece mais instruções e downloads para o Windows Server.
Opção 2: recrie novas instâncias do WAM Packager e Validator EC2 a partir de AMIs atualizadas para o WAM Packager e Validator, que estarão disponíveis no final do dia (04/01/2018).