16 de agosto de 2018 14:45 horário de verão do Pacífico (PDT)
Identificadores de CVE: CVE-2018-3620, CVE-2018-3646
A Intel publicou um aviso de segurança (INTEL-SA-00161) relacionado a um novo método de análise de canal lateral afetando seus processadores conhecido como "Falha do terminal L1" ("L1 Terminal Fault" ou L1TF, na sigla em inglês). A AWS projetou e implementou sua infraestrutura com proteções contra esses ataques, e implantou ainda proteções adicionais contra a L1TF. Toda a infraestrutura de hospedagem do EC2 foi atualizada com essas novas proteções, e nenhuma ação é necessária pelo cliente no que diz respeito à infraestrutura.
Estão disponíveis kernels atualizados para Amazon Linux AMI 2017.09 (ALAS-2018-1058), Amazon Linux AMI 2018.03 (ALAS-2018-1058) e Amazon Linux 2 (ALAS-2018-1058) nos respectivos repositórios. Como melhor prática geral de segurança, recomendamos aos clientes que atualizem seus sistemas operacionais ou software à medida que os patches relevantes forem disponibilizados para lidar com os problemas emergentes de canais laterais.
Lançamos novas versões de AMIs do Amazon Linux e Amazon Linux 2 que incluem o kernel atualizado automaticamente. Os IDs de AMI das imagens com os kernels atualizados podem ser encontrados em IDs de AMI do Amazon Linux 2018.03, IDs de AMI do Amazon Linux 2 e no AWS Systems Manager Parameter Store.
Enquanto isso não é feito, sugerimos usar a segurança e as propriedades de isolamento de instâncias mais poderosas do EC2, em vez de confiar em contêineres ou na limitação de processos do sistema operacional para a execução de cargas de trabalho com privilégios de segurança diferentes.