Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Актуальная версия представлена здесь: «Сообщение об исследовании спекулятивного выполнения на процессорах».
Относится к: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Последнее обновление: 12.01.2018 в 17:00 по тихоокеанскому стандартному времени
Это обновление для устранения данной проблемы.
Опубликован второй выпуск ядра для Amazon Linux, в котором исправлены ошибки KPTI и улучшены меры безопасности, описанные в документе CVE-2017-5754. Клиентам необходимо обновить ядро или AMI Amazon Linux до последней версии, чтобы эффективно устранить в своих инстансах уязвимости межпроцессного взаимодействия, описанные в документе CVE-2017-5754. См. информацию в разделе «AMI Amazon Linux» ниже.
Информацию о паравиртуализированных инстансах (PV) см. в разделе «Рекомендации по инстансам PV» ниже.
Amazon EC2
Все инстансы в сервисе Amazon EC2 защищены от всех известных проблем, связанных с взаимодействием между инстансами и описанных в перечисленных выше документах CVE. Предполагается, что недоверенный соседний инстанс может выполнять чтение данных из памяти другого инстанса или гипервизора AWS. Эта проблема устранена для гипервизоров AWS, и ни один инстанс не может считывать память других инстансов и гипервизоров AWS. Как упоминалось ранее, мы не обнаружили значимого влияния на производительность для подавляющего большинства рабочих нагрузок EC2.
Мы обнаружили небольшое количество сбоев в инстансах и приложениях, вызванных обновлениями микрокода Intel, и работаем с теми клиентами, на которых они повлияли. Мы только что завершили деактивацию фрагментов нового микрокода ЦП Intel для тех платформ в AWS, где наблюдались эти проблемы. По всей видимости, это устранило проблему в соответствующих инстансах. Все инстансы в группе Amazon EC2 остаются защищенными от всех известных векторов угроз. Отключенный микрокод Intel обеспечивает дополнительную защиту от теоретических векторов угроз, описанных в документе CVE-2017-5715. Мы собираемся повторно активировать эти дополнительные средства защиты (наряду с некоторыми дополнительными улучшениями производительности, над которыми мы работаем) в ближайшем будущем, когда компания Intel предоставит обновленный микрокод.
Рекомендуемые действия клиентов для AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce и Amazon Lightsail
Все инстансы клиентов защищены, как описано выше, но мы рекомендуем применить исправления для операционных систем ваших инстансов, чтобы изолировать программы, работающие в одних и тех же инстансах, и устранить проблемы, связанные с взаимодействием между процессами и указанные в документе CVE-2017-5754. Дополнительные сведения см. в соответствующих документах о доступности и руководствах по развертыванию исправлений поставщиков.
Руководства поставщиков
- Amazon Linux – дополнительные сведения см. ниже.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Если нужной операционной системы нет в списке, получите необходимые обновления и инструкции у поставщика используемой вами операционной системы или AMI.
Рекомендации по инстансам PV
В результате продолжительных исследований и подробного анализа доступных исправлений операционных систем для устранения этой проблемы мы установили, что в операционных системах не реализована надлежащая защита для устранения проблем с взаимодействием «процесс-процесс» в паравиртуализированных (PV) инстансах. Как описано выше, гипервизоры AWS защищают инстансы PV от проблем с взаимодействием «инстанс-инстанс», но тем клиентам, которых беспокоит изоляция процессов в инстансах PV (например, обработка ненадежных данных, запуск ненадежного кода и размещение недоверенных пользователей), настоятельно рекомендуется перейти на инстансы типа HVM, чтобы получить более долгосрочные преимущества для безопасности.
Дополнительная информация о различиях между PV и HVM (а также документация по обновлению инстансов) представлена в следующей статье:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Обратитесь в службу поддержки, если вам нужна помощь с обновлением каких-либо инстансов PV.
Обновления для других сервисов AWS
Работа над перечисленными ниже сервисами, для которых требовалось установить исправления инстансов EC2, управляемых от имени пользователя, завершена, и от клиентов не требуется никаких действий.
- Fargate
- Lambda
Если ниже не указано иное, для всех остальных сервисов AWS не требуются действия клиентов.
AMI Amazon Linux (идентификатор бюллетеня: ALAS-2018-939)
Обновленное ядро для Amazon Linux доступно в репозиториях Amazon Linux. В инстансы EC2, запущенные с использованием стандартной конфигурации Amazon Linux не ранее 8 января 2018 г., будет автоматически добавлен обновленный пакет, предназначенный для устранения ошибок KPTI и проблем, описанных в документе CVE-2017-5754.
ПРИМЕЧАНИЕ. Клиентам необходимо обновить ядро или AMI Amazon Linux до последней версии, чтобы эффективно устранить в своих инстансах проблемы, описанные в документе CVE-2017-5754. Мы продолжим улучшать Amazon Linux и обновлять AMI Amazon Linux. Для этого мы будем включать в них решения с открытым исходным кодом, созданные в сообществе Linux, которые позволяют устранить эту проблему (по мере публикации таких решений).
Клиентам, у которых уже есть инстансы AMI Amazon Linux, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:
sudo yum update kernel
Согласно стандартной методике, при каждом обновлении ядра Linux после выполнения команды yum update необходимо перезагрузить устройство, чтобы изменения вступили в силу.
Дополнительные сведения об этом бюллетене см. в Центре безопасности AMI Amazon Linux.
Если вы используете Amazon Linux 2, выполните приведенные выше инструкции для Amazon Linux.
EC2 Windows
Мы обновили AMI AWS Windows. Теперь клиенты могут использовать их. Кроме того, в AMI AWS Windows установлены необходимые исправления и включены необходимые разделы реестра.
Корпорация Microsoft предоставила исправления для ОС Windows Server версий 2008R2, 2012R2 и 2016. Исправления можно получить через встроенную службу обновления Windows в Server 2016. Мы ожидаем от корпорации Microsoft информацию о доступности исправлений для Server 2003, Server 2008SP2 и Server 2012RTM.
Клиентам AWS, использующим инстансы Windows на EC2 с включенной функцией автоматического обновления, следует запустить эту функцию, чтобы загрузить и установить необходимое обновление для ОС Windows (когда оно будет доступно).
Обратите внимание, что в настоящее время исправления для Server 2008R2 и Server 2012R2 недоступны через службу обновления Windows, и их необходимо загрузить вручную. Ранее корпорация Microsoft объявила, что эти исправления станут доступны во вторник 9 января, но мы до сих пор ждем информацию об их доступности.
Клиентам AWS, использующим инстансы Windows на EC2 с отключенной функцией автоматического обновления, следует вручную установить необходимое обновление (когда оно станет доступно), выполнив инструкции по следующей ссылке: http://windows.microsoft.com/ru-ru/windows7/install-windows-updates.
Обратите внимание, что для Windows Server корпорация Microsoft требует выполнить дополнительные действия, чтобы включить защитные функции обновления для устранения данной проблемы. Эти действия описаны здесь: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
AMI, оптимизированный для сервиса ECS
Мы выпустили оптимизированный образ AMI Amazon ECS версии 2017.09.f, включающий все средства защиты Amazon Linux от этой проблемы, включая второе обновление ядра Amazon Linux, упомянутое выше. Рекомендуем всем клиентам Amazon ECS выполнить обновление до последней версии, доступной в AWS Marketplace. Мы продолжим добавлять улучшения для Amazon Linux по мере их появления.
Клиентам, которым нужно обновить имеющиеся инстансы оптимизированного образа AMI ECS, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:
sudo yum update kernel
По стандартной методике при каждом обновлении ядра Linux после выполнения команды yum update необходимо выполнить перезагрузку, чтобы изменения вступили в силу.
Пользователям Linux, не использующим оптимизированный образ AMI ECS, рекомендуется проконсультироваться с поставщиками альтернативных или сторонних операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности AMI Amazon Linux.
Мы обновляем AMI Windows, оптимизированный для сервиса Amazon ECS, и когда у нас появятся новые сведения, мы внесем их в этот бюллетень. Корпорация Microsoft предоставила исправления для ОС Windows Server 2016. Сведения о том, как применять исправления для работающих инстансов, см. по следующей ссылке: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Мы обновили все платформы на основе Linux, добавив все средства защиты Amazon Linux от этой проблемы. Конкретные версии платформ указаны в примечаниях к выпуску. Рекомендуем пользователям Elastic Beanstalk обновить свои среды до последней доступной версии платформы. Среды, в которых используются управляемые обновления, будут автоматически обновлены в течение заданного периода обслуживания.
Платформы на основе Windows также были обновлены с добавлением всех средств защиты EC2 от этой проблемы для Windows. Клиентам рекомендуется обновить свои среды Elastic Beanstalk на основе Windows до новейшей доступной конфигурации платформы.
EMR
Amazon EMR запускает кластеры инстансов Amazon EC2 под управлением Amazon Linux от имени клиентов в их аккаунтах. Как упоминалось ранее, клиентам, которых беспокоит изоляция процессов в рамках инстансов из кластеров Amazon EMR, следует обновить ядро Amazon Linux до последней версии. В настоящее время мы внедряем ядро Amazon Linux новейшей версии в новые промежуточные выпуски ветвей 5.11.x и 4.9.x. Клиенты смогут создавать новые кластеры Amazon EMR с помощью этих выпусков. Мы обновим информацию в данном бюллетене, когда эти выпуски станут доступны.
Как упоминалось ранее, для текущих выпусков Amazon EMR и всех соответствующих действующих инстансов у клиентов рекомендуется обновить ядро Amazon Linux до последней версии. В случае новых кластеров клиенты могут использовать загрузочный сценарий для обновления ядра Linux и перезагрузить каждый инстанс. В случае уже запущенных кластеров клиенты могут установить обновление ядра Linux и последовательно перезагрузить каждый инстанс в кластере. Обратите внимание, что перезагрузка определенных процессов может повлиять на запущенные в кластере приложения.
RDS
В каждом инстансе клиентской базы данных под управлением RDS работает ядро базы данных только для одного клиента. В этих инстансах нет других доступных клиентам процессов, а клиенты не могут выполнять код в базовом инстансе. Специалисты AWS полностью реализовали защиту всей инфраструктуры, на которой находится RDS, поэтому аспекты этой проблемы, связанные с взаимодействием «процесс-ядро» и «процесс-процесс», не представляют риск для клиентов. На данный момент в большинстве ядер баз данных, поддерживаемых сервисом RDS, нет известных проблем в рамках процессов. Ниже представлена дополнительная информация для определенных ядер баз данных. Если не указано иное, от клиента не требуется никаких действий. Как только станет доступна дополнительная информация, мы соответствующим образом обновим данный бюллетень.
Что касается инстансов баз данных RDS для SQL Server, мы выпустим соответствующие исправления для ОС и ядер баз данных, как только корпорация Microsoft сделает их доступными, и клиенты смогут выполнить обновление в удобное для них время. Мы обновим информацию в этом бюллетене, как только будут готовы какие-либо исправления. Тем временем клиентам, которые включили среду CLR (которая по умолчанию отключена), следует изучить рекомендации Microsoft по выключению расширения CLR, приведенные на странице https://support.microsoft.com/ru-ru/help/4073225/guidance-for-sql-server.
Что касается RDS PostgreSQL и Aurora PostgreSQL, для инстансов БД с конфигурацией по умолчанию на данный момент не требуется действий клиента. Мы предоставим пользователям расширений plv8 соответствующие исправления, когда они появятся. До этого клиентам, у которых включены расширения plv8 (отключенные по умолчанию), рекомендуется отключить их и ознакомиться с рекомендациями V8 на странице https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
На данный момент в инстансах баз данных RDS для MariaDB, RDS для MySQL, Aurora MySQL и RDS для Oracle от клиентов не требуется никаких действий.
VMware Cloud on AWS
По данным компании VMware, «исправление, задокументированное в VMSA-2018-0002, присутствует в VMware Cloud on AWS с начала декабря 2017 г.».
Дополнительную информацию см. в блоге, посвященном безопасности и соответствию требованиям для VMware, а обновленное состояние – на сайте https://status.vmware-services.io.
WorkSpaces
В течение следующей недели AWS будет применять обновления для систем безопасности, выпускаемые корпорацией Microsoft, для большей части AWS WorkSpaces. В этот период возможны перезапуски WorkSpaces клиентов.
Клиентам, использующим функцию поддержки собственных лицензий (BYOL), и клиентам, которые изменили заданные по умолчанию параметры обновления в своих WorkSpaces, следует вручную применить обновления для систем безопасности, предоставленные корпорацией Microsoft.
Выполните инструкции от консультантов по безопасности корпорации Microsoft, представленные на странице https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. В советы по безопасности включены ссылки на статьи базы знаний для серверных и клиентских операционных систем Windows, где представлена дополнительная информация для конкретных продуктов.
Обновленные пакеты WorkSpaces скоро станут доступны в составе обновлений для системы безопасности. Клиентам, которые создали собственные пакеты, следует обновить их, самостоятельно добавив обновления для систем безопасности. Все новые инстансы WorkSpaces, запускаемые из пакетов, в которых нет обновлений, получат исправления вскоре после запуска, если только клиенты не изменили в них параметры обновления, используемые по умолчанию. В противном случае следует вручную применить обновления для систем безопасности от корпорации Microsoft, выполнив указанные выше действия.
WorkSpaces Application Manager (WAM)
Рекомендуем клиентам выбрать один из приведенных ниже планов действий.
Вариант 1. Вручную примените исправления от корпорации Microsoft для работающих инстансов WAM Packager и Validator, следуя инструкциям Microsoft, приведенным в статье https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. На этой странице представлены дополнительные инструкции и файлы для загрузки, предназначенные для Windows Server.
Вариант 2. Заново создайте инстансы EC2 WAM Packager и Validator на основе обновленных AMI для WAM Packager and Validator, которые будут доступны к концу дня (04.01.2018).