Ultima atualização: 17 de junho de 2019 14:15 PDT
Identificadores de CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Esta é uma atualização para o problema.
Os kernels Linux atualizados para o Amazon Linux estão disponíveis nos repositórios do Amazon Linux e as AMIs do Amazon Linux atualizadas estão disponíveis para uso. Os clientes com instâncias existentes do EC2 executando o Amazon Linux devem executar o seguinte comando em cada instância do EC2 executando o Amazon Linux para garantir que eles recebam o pacote atualizado:
sudo yum update kernel
Como padrão em qualquer atualização do kernel do Linux, é necessário reinicializar o sistema depois de executar o comando yum para que as atualizações sejam aplicadas.
Os clientes que não usam o Amazon Linux devem entrar em contato com o fornecedor do sistema operacional para obter atualizações ou instruções necessárias para atenuar quaisquer preocupações potenciais de DoS desses problemas. Mais informações estão disponíveis no Amazon Linux Security Center.
Amazon Elastic Compute Cloud (EC2)
Instâncias do cliente EC2 baseadas em Linux, iniciando ou recebendo diretamente conexões TCP de ou para partes não confiáveis, por exemplo Internet, exigem correções do sistema operacional para atenuar quaisquer preocupações potenciais de DoS desses problemas. NOTA: Os clientes que usam o Amazon Elastic Load Balancing (ELB) devem revisar "Elastic Load Balancing (ELB)" abaixo para obter orientações adicionais.
Elastic Load Balancing (ELB)
Os TCP Network Load Balancers (NLBs) não filtram o tráfego, a menos que estejam configurados para encerrar sessões TLS. NLBs configurados para encerrar sessões TLS não exigem nenhuma ação adicional do cliente para migrar esse problema.
As instâncias do EC2 baseadas em Linux que usam NLBs TCP que não encerram sessões TLS exigem correções do sistema operacional para mitigar quaisquer preocupações potenciais de DoS relacionadas a esses problemas. Os kernels atualizados para o Amazon Linux já estão disponíveis e as instruções para atualizar instâncias do EC2 atualmente executando o Amazon Linux são fornecidas acima. Os clientes que não usam o Amazon Linux devem entrar em contato com o fornecedor do sistema operacional para obter atualizações ou instruções necessárias para atenuar quaisquer preocupações potenciais de DoS.
As instâncias do EC2 baseadas em Linux que usam Elastic Load Balancing (ELB) Classic Load Balancers, Application Load Balancers, ou Network Load Balancers com terminação TLS (TLS NLB) não requerem nenhuma ação do cliente. O ELB Classic e o ALB filtrarão o tráfego recebido para mitigar quaisquer preocupações potenciais de DoS desses problemas.
Amazon WorkSpaces (Linux)
Todos os novos Amazon Linux WorkSpaces serão lançados com os kernels atualizados. Os kernels atualizados para o Amazon Linux 2 já foram instalados para o Amazon Linux WorkSpaces existente.
Como padrão em qualquer atualização do kernel do Linux, é necessário reinicializar o sistema para que as atualizações sejam aplicadas. Recomendamos que os clientes reiniciem manualmente o mais rápido possível. Caso contrário, o Amazon Linux WorkSpaces será reiniciado automaticamente entre as 00:00 e as 04:00 horas locais em 18 de junho.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Todos os clusters do Amazon EKS em execução no momento estão protegidos contra esses problemas. O Amazon EKS publicou Imagens de máquina da Amazon (AMIs) otimizadas para EKS, atualizadas com o kernel Amazon Linux 2 corrigido, em 17 de junho de 2019. Mais informações sobre a AMI otimizada para EKS estão disponíveis em https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Recomendamos que os clientes EKS substituam todos os nós do trabalhador para usar a versão mais recente da AMI otimizada para EKS. Instruções sobre a atualização de nós do trabalhador estão disponíveis emhttps://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
As plataformas baseadas no AWS Elastic Beanstalk Linux atualizadas estarão disponíveis em 17 de junho de 2019. Este boletim será atualizado quando as novas versões da plataforma estiverem disponíveis. Os clientes que usam a Atualizações da Plataforma Gerenciada serão atualizados automaticamente para a versão mais recente da plataforma na janela de manutenção selecionada, sem a necessidade de nenhuma outra ação. Como alternativa, os clientes que usam as Atualizações de plataforma gerenciadas podem aplicar as atualizações disponíveis independentemente antes da janela de manutenção selecionada, acessando a página de configuração das Atualizações gerenciadas e clicando no botão "Aplicar agora".
Os clientes que não tiverem a opção Atualizações de plataforma gerenciada habilitada devem atualizar a versão da plataforma do ambiente conforme as instruções acima. Mais informações sobre as Atualizações de plataforma gerenciadas estão disponíveis em https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
O Amazon ElastiCache lança clusters de instâncias do Amazon EC2 executando o Amazon Linux nos VPCs de clientes. Esses não aceitam conexões TCP não confiáveis por padrão e não são afetados por esses problemas.
Quaisquer clientes que fizeram alterações na configuração padrão do ElastiCache VPC devem garantir que seus grupos de segurança do ElastiCache sigam as práticas recomendadas de segurança recomendadas pela AWS, configurando-os para bloquear o tráfego de rede de clientes não confiáveis para mitigar quaisquer preocupações potenciais de DoS. Mais informações sobre a configuração do ElastiCache VPC estão disponíveis em https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
Os clientes que têm seus clusters ElastiCache em execução fora de suas VPCs e fizeram alterações na configuração padrão, devem configurar o acesso confiável usando os grupos de segurança ElastiCache. Para obter mais informações sobre como criar grupos de segurança ElastiCache, consulte https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
A equipe do ElastiCache lançará um novo patch em breve, que soluciona esses problemas. Quando esse patch estiver disponível, notificaremos os clientes de que estão prontos para serem aplicados. Os clientes podem optar por atualizar seus clusters com o recurso de atualização de autoatendimento do ElastiCache. Mais informações sobre atualizações de patch de autoatendimento do ElastiCache estão disponíveis em https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
O Amazon EMR lança clusters de instâncias do Amazon EC2 executando o Amazon Linux nos VPCs dos clientes em seu nome. Esses clusters não aceitam conexões TCP não confiáveis por padrão e, portanto, não são afetados por esses problemas.
Quaisquer clientes que fizeram alterações na configuração padrão do EMR VPC devem garantir que seus grupos de segurança EMR sigam as práticas recomendadas de segurança recomendadas pela AWS; bloquear o tráfego de rede de clientes não confiáveis para mitigar quaisquer preocupações potenciais de DoS. Consulte https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html for more information on EMR security groups.
Os clientes que optarem por não configurar grupos de segurança EMR de acordo com as práticas recomendadas de segurança recomendadas pela AWS (ou que exigirem correções do sistema operacional para atender a qualquer política de segurança adicional), podem seguir as instruções abaixo para atualizar clusters de EMR novos ou existentes para atenuar esses problemas. NOTA: Essas atualizações exigirão reinicializações de instâncias de cluster e podem afetar os aplicativos em execução. Os clientes não devem reiniciar seus clusters até que considerem necessário:
Para novos clusters, use uma ação de inicialização do EMR para atualizar o kernel do Linux e reiniciar cada instância. Mais informações sobre ações de inicialização do EMR estão disponíveis em https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Para clusters existentes, atualize o kernel do Linux em cada instância em um cluster e reinicialize-os de forma contínua.