Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Актуальная версия представлена здесь: «Сообщение об исследовании спекулятивного выполнения на процессорах».

Относится к: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Последнее обновление: 13.01.2018 в 13:00 по тихоокеанскому стандартному времени

Это обновление для устранения данной проблемы.

Опубликован второй выпуск ядра для Amazon Linux, в котором исправлены ошибки KPTI и улучшены меры безопасности, относящиеся к CVE-2017-5754. Клиентам следует обновить ядро или AMI Amazon Linux до последней версии, чтобы эффективно устранить уязвимости процессов, связанные с CVE-2017-5754, в своих инстансах. См. информацию в разделе «AMI Amazon Linux» ниже.  

См. информацию в разделе «Инструкции для инстансов PV», относящемся к паравиртуализированным инстансам (PV).

Amazon EC2

Все инстансы из группы Amazon EC2 защищены от всех известных проблем с инстансами из вышеуказанных CVE. Предполагается, что недоверенный соседний инстанс может считать память другого инстанса или гипервизора AWS. Эта проблема устранена для гипервизоров AWS, и ни один инстанс не может считывать память других инстансов и гипервизоров AWS. Как упоминалось ранее, мы не обнаружили значимого влияния на производительность для подавляющего большинства рабочих нагрузок EC2.

Мы обнаружили небольшое количество сбоев в инстансах и приложениях, вызванных обновлениями микрокода Intel, и работаем с теми клиентами, на которых они повлияли. Мы только что завершили деактивацию фрагментов нового микрокода ЦП Intel для тех платформ в AWS, где наблюдались эти проблемы. По всей видимости, это устранило проблему в соответствующих инстансах. Все инстансы в группе Amazon EC2 остаются защищенными от всех известных векторов угроз. Отключенный микрокод Intel обеспечивает дополнительную защиту от теоретических векторов угроз, описанных в документе CVE-2017-5715. Мы собираемся повторно активировать эти дополнительные средства защиты (наряду с некоторыми дополнительными улучшениями производительности, над которыми мы работаем) в ближайшем будущем, когда компания Intel предоставит обновленный микрокод.

Рекомендуемые действия клиентов для AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce и Amazon Lightsail

Все инстансы клиентов защищены, как описано выше, но мы рекомендуем применить исправления для операционных систем ваших инстансов, чтобы изолировать программы, работающие в одних и тех же инстансах, и устранить проблемы, связанные с взаимодействием между процессами и указанные в документе CVE-2017-5754. Дополнительные сведения см. в соответствующих документах о доступности и руководствах по развертыванию исправлений поставщиков.

Руководства поставщиков

Если нужной операционной системы нет в списке, получите необходимые обновления и инструкции у поставщика используемой вами операционной системы или AMI.

Рекомендации по инстансам PV

В результате продолжительных исследований и подробного анализа доступных исправлений операционных систем для устранения этой проблемы мы установили, что в операционных системах не реализована надлежащая защита для устранения проблем с взаимодействием «процесс-процесс» в паравиртуализированных (PV) инстансах. Как описано выше, гипервизоры AWS защищают инстансы PV от проблем с взаимодействием «инстанс-инстанс», но тем клиентам, которых беспокоит изоляция процессов в инстансах PV (например, обработка ненадежных данных, запуск ненадежного кода и размещение недоверенных пользователей), настоятельно рекомендуется перейти на инстансы типа HVM, чтобы получить более долгосрочные преимущества для безопасности.

Дополнительная информация о различиях между PV и HVM (а также документация по обновлению инстансов) представлена в следующей статье:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Обратитесь в службу поддержки, если вам нужна помощь с обновлением каких-либо инстансов PV.

Обновления для других сервисов AWS

Работа над перечисленными ниже сервисами, для которых требовалось установить исправления инстансов EC2, управляемых от имени пользователя, завершена, и от клиентов не требуется никаких действий.

  • Fargate
  • Lambda

Если ниже не указано иное, для всех остальных сервисов AWS не требуются действия клиентов.

AMI Amazon Linux (идентификатор бюллетеня: ALAS-2018-939)

Обновленное ядро для Amazon Linux доступно в репозиториях Amazon Linux. В инстансы EC2, запущенные с использованием стандартной конфигурации Amazon Linux не ранее 8 января 2018 г., будет автоматически добавлен обновленный пакет, предназначенный для устранения ошибок KPTI и проблем, описанных в документе CVE-2017-5754.

ПРИМЕЧАНИЕ. Клиентам необходимо обновить ядро или AMI Amazon Linux до последней версии, чтобы эффективно устранить в своих инстансах проблемы, описанные в документе CVE-2017-5754. Мы продолжим улучшать Amazon Linux и обновлять AMI Amazon Linux. Для этого мы будем включать в них решения с открытым исходным кодом, созданные в сообществе Linux, которые позволяют устранить эту проблему (по мере публикации таких решений).

Клиентам, у которых уже есть инстансы AMI Amazon Linux, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:

sudo yum update kernel

Согласно стандартной методике, при каждом обновлении ядра Linux после выполнения команды yum update необходимо перезагрузить устройство, чтобы изменения вступили в силу.

Дополнительные сведения об этом бюллетене см. в Центре безопасности AMI Amazon Linux.

Если вы используете Amazon Linux 2, выполните приведенные выше инструкции для Amazon Linux.

EC2 Windows

Мы обновили AMI AWS Windows. Теперь клиенты могут использовать их. Кроме того, в AMI AWS Windows установлены необходимые исправления и включены необходимые разделы реестра.

Корпорация Microsoft предоставила исправления для ОС Windows Server версий 2008R2, 2012R2 и 2016. Исправления можно получить через встроенную службу обновления Windows в Server 2016. Мы ожидаем от корпорации Microsoft информацию о доступности исправлений для Server 2003, Server 2008SP2 и Server 2012RTM.

Клиентам AWS, использующим инстансы Windows на EC2 с включенной функцией автоматического обновления, следует запустить эту функцию, чтобы загрузить и установить необходимое обновление для ОС Windows (когда оно будет доступно).

Обратите внимание, что в настоящее время исправления для Server 2008R2 и Server 2012R2 недоступны через службу обновления Windows, и их необходимо загрузить вручную. Ранее корпорация Microsoft объявила, что эти исправления станут доступны во вторник 9 января, но мы до сих пор ждем информацию об их доступности.

Клиентам AWS, использующим инстансы Windows на EC2 с отключенной функцией автоматического обновления, следует вручную установить необходимое обновление (когда оно станет доступно), выполнив инструкции по следующей ссылке: http://windows.microsoft.com/ru-ru/windows7/install-windows-updates.

Обратите внимание на то, что для Windows Server корпорация Microsoft требует выполнить дополнительные действия, чтобы включить защитные функции обновления для устранения данной проблемы. Эти действия описаны здесь: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI, оптимизированный для сервиса ECS

Мы выпустили оптимизированный образ AMI Amazon ECS версии 2017.09.f, включающий все средства защиты Amazon Linux от этой проблемы, включая второе обновление ядра Amazon Linux, упомянутое выше. Рекомендуем всем клиентам Amazon ECS выполнить обновление до последней версии, доступной в AWS Marketplace. Мы продолжим добавлять улучшения для Amazon Linux по мере их появления.

Клиентам, которым нужно обновить имеющиеся инстансы оптимизированного образа AMI ECS, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:

sudo yum update kernel

По стандартной методике при каждом обновлении ядра Linux после выполнения команды yum update необходимо выполнить перезагрузку, чтобы изменения вступили в силу.

Пользователям Linux, не использующим оптимизированный образ AMI ECS, рекомендуется проконсультироваться с поставщиками альтернативных или сторонних операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности AMI Amazon Linux.

Мы обновляем AMI Windows, оптимизированный для сервиса Amazon ECS, и когда у нас появятся новые сведения, мы внесем их в этот бюллетень. Корпорация Microsoft предоставила исправления для ОС Windows Server 2016. Сведения о том, как применять исправления для работающих инстансов, см. по следующей ссылке: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Elastic Beanstalk

Мы обновили все платформы на основе Linux, добавив все средства защиты Amazon Linux от этой проблемы. Конкретные версии платформ указаны в примечаниях к выпуску. Рекомендуем пользователям Elastic Beanstalk обновить свои среды до последней доступной версии платформы. Среды, в которых используются управляемые обновления, будут автоматически обновлены в течение заданного периода обслуживания.

Платформы на основе Windows также обновлены с добавлением всех средств защиты EC2 от этой проблемы для Windows. Клиентам рекомендуется обновить свои среды Elastic Beanstalk на основе Windows до новейшей доступной конфигурации платформы.

ElastiCache

В каждом узле клиентского кэша под управлением ElastiCache работает модуль кэширования только для одного клиента. В этих узлах нет других доступных клиентам процессов, а клиенты не могут выполнять код в базовом инстансе. Специалисты AWS полностью реализовали защиту всей инфраструктуры, на которой находится ElastiCache, поэтому аспекты этой проблемы, связанные с взаимодействием «процесс-ядро» и «процесс-процесс», не представляют риск для клиентов. На данный момент в обоих модулях кэширования, поддерживаемых сервисом ElastiCache, нет известных проблем в рамках процессов.

EMR

Amazon EMR запускает кластеры инстансов Amazon EC2 под управлением Amazon Linux от имени клиентов в их аккаунтах. Как упоминалось ранее, клиентам, которых беспокоит изоляция процессов в рамках инстансов из кластеров Amazon EMR, следует обновить ядро Amazon Linux до последней версии. В настоящее время мы внедряем ядро Amazon Linux новейшей версии в новые промежуточные выпуски ветвей 5.11.x и 4.9.x. Клиенты смогут создавать новые кластеры Amazon EMR с помощью этих выпусков. Мы обновим информацию в данном бюллетене, когда эти выпуски станут доступны.

Как упоминалось ранее, для текущих выпусков Amazon EMR и всех соответствующих действующих инстансов у клиентов рекомендуется обновить ядро Amazon Linux до последней версии. В случае новых кластеров клиенты могут использовать загрузочный сценарий для обновления ядра Linux и перезагрузить каждый инстанс. В случае уже запущенных кластеров клиенты могут установить обновление ядра Linux и последовательно перезагрузить каждый инстанс в кластере. Обратите внимание, что перезагрузка определенных процессов может повлиять на запущенные в кластере приложения.

RDS

В каждом инстансе клиентской базы данных под управлением RDS работает ядро базы данных только для одного клиента. В этих инстансах нет других доступных клиентам процессов, а клиенты не могут выполнять код в базовом инстансе. Специалисты AWS полностью реализовали защиту всей инфраструктуры, на которой находится RDS, поэтому аспекты этой проблемы, связанные с взаимодействием «процесс-ядро» и «процесс-процесс», не представляют риск для клиентов. На данный момент в большинстве ядер баз данных, поддерживаемых сервисом RDS, нет известных проблем в рамках процессов. Ниже представлена дополнительная информация для определенных ядер баз данных. Если не указано иное, от клиента не требуется никаких действий.

Что касается инстансов баз данных RDS для SQL Server, мы выпустим исправления для ОС и ядер баз данных, как только корпорация Microsoft сделает их доступными, и клиенты смогут выполнить обновление в удобное для них время. Мы обновим информацию в данном бюллетене, как только будут готовы какие-либо исправления. Тем временем клиентам, которые включили среду CLR (которая по умолчанию отключена), следует изучить рекомендации корпорации Microsoft по выключению расширения CLR, приведенные на странице https://support.microsoft.com/ru-ru/help/4073225/guidance-for-sql-server.

Что касается RDS PostgreSQL и Aurora PostgreSQL, для инстансов БД с конфигурацией по умолчанию на данный момент не требуется действий клиента. Мы предоставим пользователям расширений plv8 соответствующие исправления, когда они появятся. Тем временем клиентам, у которых включены расширения plv8 (отключенные по умолчанию), рекомендуется отключить их и ознакомиться с рекомендациями V8 на странице https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

На данный момент в инстансах баз данных RDS для MariaDB, RDS для MySQL, Aurora MySQL и RDS для Oracle от клиентов не требуется никаких действий.

VMware Cloud on AWS

По данным компании VMware, «исправление, задокументированное в VMSA-2018-0002, присутствует в VMware Cloud on AWS с начала декабря 2017 г.»

Дополнительную информацию см. в блоге, посвященном безопасности и соответствию требованиям для VMware, а обновленное состояние – на сайте https://status.vmware-services.io.

WorkSpaces

Для пользователей среды Windows 7 в Windows Server 2008 R2:

Корпорация Microsoft выпустила новые обновления для системы безопасности Windows Server 2008 R2, устраняющие эту проблему. Для успешной доставки этих обновлений требуется совместимая антивирусная программа, работающая на сервере, как указано в описании обновления для системы безопасности от корпорации Microsoft: https://support.microsoft.com/ru-ru/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Пользователям WorkSpaces необходимо принять меры для получения этих обновлений. Следуйте инструкциям от корпорации Microsoft, представленным в этой статье: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Для пользователей среды Windows 10 в Windows Server 2016:

Специалисты AWS применили обновления для системы безопасности к WorkSpaces со средой Windows 10 в Windows Server 2016. В систему Windows 10 встроена антивирусная программа «Защитник Windows», совместимая с этими обновлениями для системы безопасности. От клиентов не требуется дальнейших действий.

Для пользователей модели BYOL и тех клиентов, которые изменили стандартные параметры обновления:

Обратите внимание, что клиенты, использующие функцию поддержки собственных лицензий (BYOL) на WorkSpaces, и те клиенты, которые изменили заданные по умолчанию параметры обновления в WorkSpaces, должны вручную применить обновления для системы безопасности, предоставленные корпорацией Microsoft. Если это касается вас, следуйте инструкциям от консультантов Microsoft по безопасности, представленным на странице https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. В советы по безопасности включены ссылки на статьи базы знаний для серверных и клиентских операционных систем Windows, где представлена дополнительная информация для конкретных продуктов.

Обновленные пакеты WorkSpaces скоро станут доступны в составе обновлений для системы безопасности. Клиентам, которые создали собственные пакеты, следует обновить свои пакеты, добавив в них сами обновления для системы безопасности. Все новые инстансы WorkSpaces, запущенные из пакетов, в которых нет обновлений, получат исправления вскоре после запуска, если только клиенты не изменили параметры обновления по умолчанию в WorkSpaces и не установили несовместимые антивирусные программы. В противном случае им следует выполнить указанные выше действия, чтобы вручную применить обновления для системы безопасности от Microsoft.

WorkSpaces Application Manager (WAM)

Рекомендуем клиентам выбрать один из приведенных ниже планов действий.

Вариант 1. Вручную примените обновления Microsoft к работающим инстансам WAM Packager и Validator, следуя инструкциям от Microsoft из статьи https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. На этой странице представлены дополнительные инструкции и соответствующие загрузки.

Вариант 2. Завершите работу имеющихся инстансов Packager и Validator. Запустите новые инстансы при помощи наших обновленных образов AMI с именами «Amazon WAM Admin Studio 1.5.1» и «Amazon WAM Admin Player 1.5.1».