Você está visualizando uma versão anterior deste boletim de segurança. Para a versão mais atual, visite: "Problemas de negação de serviço do Linux Kernel TCP SACK".
17 de junho de 2019 10:00 PDT
Identificadores de CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
A AWS está ciente de três problemas recentemente divulgados que afetam o subsistema de processamento TCP do kernel Linux. Especificamente, um cliente ou servidor TCP mal-intencionado pode transmitir uma série especialmente criada de pacotes que podem causar o pânico e a reinicialização do kernel Linux de qualquer sistema de conexão direcionado.
Os sistemas e a infraestrutura subjacentes da AWS estão protegidos contra esses problemas. Com exceção dos serviços da AWS listados abaixo, nenhuma ação do cliente é necessária para mitigar quaisquer preocupações potenciais de negação de serviço (DoS) relacionadas a esses problemas.
Amazon Elastic Compute Cloud (EC2)
Instâncias do cliente EC2 baseadas em Linux, iniciando ou recebendo diretamente conexões TCP de ou para partes não confiáveis, por exemplo Internet, exigem correções do sistema operacional para atenuar quaisquer preocupações potenciais de DoS desses problemas. NOTA: Os clientes que usam o Amazon Elastic Load Balancing (ELB) devem analisar o "Elastic Load Balancing (ELB)" abaixo para obter orientações adicionais.
A AMI do Amazon Linux e a AMI do Amazon Linux 2
As AMIs do Amazon Linux atualizadas estarão disponíveis em breve. Atualizaremos este boletim quando elas estiverem disponíveis para o uso.
Os kernels atualizados para o Amazon Linux AMI e o Amazon Linux 2 estão imediatamente disponíveis nos repositórios do Amazon Linux. Os clientes com instâncias existentes do EC2 executando o Amazon Linux devem executar o seguinte comando em cada instância do EC2 executando o Amazon Linux para garantir que recebam o pacote atualizado:
sudo yum update kernel
Como padrão em qualquer atualização do kernel do Linux, é necessário reinicializar o sistema depois de executar o comando yum para que as atualizações sejam aplicadas.
Mais informações estarão disponíveis em breve no Amazon Linux Security Center.
Elastic Load Balancing (ELB)
Os Network Load Balancers (NLBs) não filtram o tráfego. As instâncias do EC2 baseadas em Linux que usam NLBs exigem correções do sistema operacional para mitigar quaisquer preocupações potenciais de DoS relacionadas a esses problemas. Os kernels atualizados para o Amazon Linux já estão disponíveis e as instruções para atualizar instâncias do EC2 atualmente executando o Amazon Linux estão fornecidas acima. Os clientes que não usam o Amazon Linux devem entrar em contato com o fornecedor do sistema operacional para obter atualizações ou instruções necessárias para mitigar quaisquer preocupações potenciais de DoS.
As instâncias do EC2 baseadas em Linux que usam Elastic Load Balancing (ELB), Classic Load Balancers e Application Load Balancers não requerem nenhuma ação do cliente. O ELB Classic e o ALB filtrarão o tráfego recebido para mitigar quaisquer preocupações potenciais de DoS desses problemas.
Amazon WorkSpaces (Linux)
Todos os novos Amazon Linux WorkSpaces serão lançados com os kernels atualizados. Os kernels atualizados para o Amazon Linux 2 já foram instalados para os Amazon Linux WorkSpaces existentes.
Como padrão em qualquer atualização do kernel do Linux, é necessário reinicializar o sistema para que as atualizações sejam aplicadas. Recomendamos que os clientes reiniciem manualmente o mais rápido possível. Caso contrário, o Amazon Linux WorkSpaces será reiniciado automaticamente entre as 00:00 e as 04:00 horas locais em 18 de junho.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Todos os clusters do Amazon EKS em execução no momento estão protegidos contra esses problemas. O Amazon EKS publicou Amazon Machine Images (AMIs) otimizadas para EKS, atualizadas com o kernel Amazon Linux 2 corrigido, em 17 de junho de 2019. Mais informações sobre a AMI otimizada para EKS estão disponíveis em https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Recomendamos que os clientes EKS substituam todos os nós do trabalhador para usar a versão mais recente da AMI otimizada para EKS. Instruções sobre a atualização de nós do trabalhador estão disponíveis emhttps://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
As plataformas baseadas no AWS Elastic Beanstalk Linux atualizadas estarão disponíveis em 17 de junho de 2019. Este boletim será atualizado quando as novas versões da plataforma estiverem disponíveis. Os clientes que usam a Atualizações da Plataforma Gerenciada serão atualizados automaticamente para a versão mais recente da plataforma na janela de manutenção selecionada, sem a necessidade de nenhuma outra ação. Como alternativa, os clientes que usam as Atualizações de plataforma gerenciadas podem aplicar as atualizações disponíveis independentemente antes da janela de manutenção selecionada, acessando a página de configuração das Atualizações gerenciadas e clicando no botão "Aplicar agora".
Os clientes que não tiverem a opção Atualizações de plataforma gerenciadas habilitada devem atualizar a versão da plataforma do ambiente conforme as instruções acima. Mais informações sobre as Atualizações de plataforma gerenciadas estão disponíveis em https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
O Amazon ElastiCache lança clusters de instâncias do Amazon EC2 executando o Amazon Linux nos VPCs de clientes. Esses não aceitam conexões TCP não confiáveis por padrão e não são afetados por esses problemas.
Quaisquer clientes que fizeram alterações na configuração padrão do ElastiCache VPC devem garantir que seus grupos de segurança do ElastiCache sigam as práticas recomendadas de segurança recomendadas pela AWS, configurando-os para bloquear o tráfego de rede de clientes não confiáveis para mitigar quaisquer preocupações potenciais de DoS. Mais informações sobre a configuração do ElastiCache VPC estão disponíveis em https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Os clientes que têm seus clusters ElastiCache em execução fora de suas VPCs e fizeram alterações na configuração padrão, devem configurar o acesso confiável usando os grupos de segurança ElastiCache. Para obter mais informações sobre como criar grupos de segurança ElastiCache, consulte https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
A equipe do ElastiCache lançará um novo patch em breve, que soluciona esses problemas. Quando esse patch estiver disponível, notificaremos os clientes de que estão prontos para serem aplicados. Os clientes podem optar por atualizar seus clusters com o recurso de atualização de autoatendimento do ElastiCache. Mais informações sobre atualizações de patch de autoatendimento do ElastiCache estão disponíveis em https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
O Amazon EMR lança clusters de instâncias do Amazon EC2 executando o Amazon Linux nos VPCs dos clientes em seu nome. Esses clusters não aceitam conexões TCP não confiáveis por padrão e, portanto, não são afetados por esses problemas.
Quaisquer clientes que fizeram alterações na configuração padrão do EMR VPC devem garantir que seus grupos de segurança EMR sigam as práticas recomendadas de segurança recomendadas pela AWS; bloquear o tráfego de rede de clientes não confiáveis para mitigar quaisquer preocupações potenciais de DoS. Consulte https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html for more information on EMR security groups.
Os clientes que optarem por não configurar grupos de segurança EMR de acordo com as práticas recomendadas de segurança recomendadas pela AWS (ou que exigirem correções do sistema operacional para atender a qualquer política de segurança adicional), podem seguir as instruções abaixo para atualizar clusters de EMR novos ou existentes para atenuar esses problemas. NOTA: Essas atualizações exigirão reinicializações de instâncias de cluster e podem afetar os aplicativos em execução. Os clientes não devem reiniciar seus clusters até que considerem necessário:
Para novos clusters, use uma ação de inicialização do EMR para atualizar o kernel do Linux e reiniciar cada instância. Mais informações sobre ações de inicialização do EMR estão disponíveis em https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Para clusters existentes, atualize o kernel do Linux em cada instância em um cluster e reinicialize-os de forma contínua.