Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Актуальная версия представлена здесь: «Сообщение об исследовании спекулятивного выполнения на процессорах».
Относится к: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Последнее обновление: 17.01.2018 в 12:00 по тихоокеанскому стандартному времени
Это обновление для устранения данной проблемы.
Обновленное ядро для Amazon Linux доступно в репозиториях Amazon Linux. В инстансы EC2, запущенные со стандартной конфигурацией Amazon Linux не ранее 13 января 2018 г., будет автоматически включен обновленный пакет, который содержит новейшие стабильные улучшения системы безопасности ядра Linux с открытым кодом для устранения проблем из CVE-2017-5715 в ядре и дополняет реализованную ранее изоляцию таблицы страниц ядра (KPTI), которая устранила проблемы из CVE-2017-5754. Клиентам необходимо обновить ядро или AMI Amazon Linux до последней версии, чтобы эффективно устранить в своих инстансах проблемы с взаимодействием «процесс-процесс», описанные в документе CVE-2017-5715, и проблемы с взаимодействием «процесс-ядро», описанные в документе CVE-2017-5754. Дополнительную информацию см. в статье «Спекулятивное выполнение на процессорах: обновления для операционных систем».
В разделе «Рекомендации по инстансам PV» ниже представлена информация о паравиртуализированных инстансах (PV).
Amazon EC2
Все инстансы в группе Amazon EC2 защищены от всех известных проблем взаимодействия «инстанс-инстанс», описанных в документах CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754. Предполагается, что недоверенный соседний инстанс может считать память другого инстанса или гипервизора AWS. Эта проблема была устранена для гипервизоров AWS, и ни один инстанс не может считывать память других инстансов и гипервизоров AWS. Как упоминалось ранее, мы не обнаружили значимого влияния на производительность для подавляющего большинства рабочих нагрузок EC2.
Мы обнаружили небольшое количество сбоев в инстансах и приложениях, вызванных обновлениями микрокода Intel, и работаем с теми клиентами, на которых они повлияли. Мы только что завершили деактивацию фрагментов нового микрокода ЦП Intel для тех платформ в AWS, где наблюдались эти проблемы. По всей видимости, это устранило проблему в соответствующих инстансах. Все инстансы в группе Amazon EC2 остаются защищенными от всех известных векторов угроз. Отключенный микрокод Intel обеспечивает дополнительную защиту от теоретических векторов угроз, описанных в документе CVE-2017-5715. Мы собираемся повторно активировать эти дополнительные средства защиты (наряду с некоторыми дополнительными улучшениями производительности, над которыми мы работаем) в ближайшем будущем, когда компания Intel предоставит обновленный микрокод.
Рекомендуемые действия клиентов для AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce и Amazon Lightsail
Все инстансы клиентов защищены, как описано выше, но клиентам рекомендуется обновить операционные системы своих инстансов, чтобы устранить аспекты этой проблемы, связанные с взаимодействием «процесс-процесс» и «процесс-ядро». В статье «Спекулятивное выполнение на процессорах: обновления для операционных систем» представлены дополнительные рекомендации и инструкции для Amazon Linux и Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE и Ubuntu.
Рекомендации по инстансам PV
В результате продолжительных исследований и подробного анализа доступных исправлений операционных систем для устранения этой проблемы мы установили, что в операционных системах не реализована надлежащая защита для устранения проблем с взаимодействием «процесс-процесс» в паравиртуализированных (PV) инстансах. Как описано выше, гипервизоры AWS защищают инстансы PV от проблем с взаимодействием «инстанс-инстанс», но тем клиентам, которых беспокоит изоляция процессов в инстансах PV (например, обработка ненадежных данных, запуск ненадежного кода и размещение недоверенных пользователей), настоятельно рекомендуется перейти на инстансы типа HVM, чтобы получить более долгосрочные преимущества для безопасности.
Дополнительная информация о различиях между PV и HVM (а также документация по обновлению инстансов) представлена в следующей статье:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Обратитесь в службу поддержки, если вам нужна помощь с обновлением каких-либо инстансов PV.
Обновления для других сервисов AWS
Работа над перечисленными ниже сервисами, для которых требовалось установить исправления инстансов EC2, управляемых от имени пользователя, завершена, и от клиентов не требуется никаких действий.
- Fargate
- Lambda
Если ниже не указано иное, для всех остальных сервисов AWS не требуются действия клиентов.
Оптимизированный образ AMI ECS
Мы выпустили оптимизированный образ AMI Amazon ECS версии 2017.09.g, включающий все средства защиты Amazon Linux от этой проблемы, включая второе обновление ядра Amazon Linux, упомянутое выше. Рекомендуем всем клиентам Amazon ECS выполнить обновление до последней версии, доступной в AWS Marketplace. Мы продолжим добавлять улучшения для Amazon Linux по мере их появления.
Клиентам, которым нужно обновить имеющиеся инстансы оптимизированного образа AMI ECS, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:
sudo yum update kernel
По стандартной методике при каждом обновлении ядра Linux после выполнения команды yum update необходимо выполнить перезагрузку, чтобы изменения вступили в силу.
Пользователям Linux, не использующим оптимизированный образ AMI ECS, рекомендуется проконсультироваться с поставщиками альтернативных/сторонних операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности AMI Amazon Linux.
Мы выпустили оптимизированный образ AMI Amazon ECS версии 2018.01.10 для Windows. Дополнительную информацию о том, как применять исправления к запущенным инстансам, см. в статье «Спекулятивное выполнение на процессорах: обновления для операционных систем».
Elastic Beanstalk
Мы обновили все платформы на основе Linux, добавив все средства защиты Amazon Linux от этой проблемы. Конкретные версии платформ указаны в примечаниях к выпуску. Рекомендуем пользователям Elastic Beanstalk обновить свои среды до последней доступной версии платформы. Среды, в которых используются управляемые обновления, будут автоматически обновлены в течение заданного периода обслуживания.
Платформы на основе Windows также были обновлены с добавлением всех средств защиты EC2 от этой проблемы для Windows. Клиентам рекомендуется обновить свои среды Elastic Beanstalk на основе Windows до новейшей доступной конфигурации платформы.
ElastiCache
В каждом узле клиентского кэша под управлением ElastiCache работает модуль кэширования только для одного клиента. В этих узлах нет других доступных клиентам процессов, а клиенты не могут выполнять код в базовом инстансе. Специалисты AWS полностью реализовали защиту всей инфраструктуры, на которой находится ElastiCache, поэтому аспекты этой проблемы, связанные с взаимодействием «процесс-ядро» и «процесс-процесс», не представляют риск для клиентов. На данный момент в обоих модулях кэширования, поддерживаемых сервисом ElastiCache, нет известных проблем в рамках процессов.
EMR
Amazon EMR запускает кластеры инстансов Amazon EC2 под управлением Amazon Linux от имени клиентов в их аккаунтах. Как упоминалось ранее, клиентам, которых беспокоит изоляция процессов в рамках инстансов из кластеров Amazon EMR, следует обновить ядро Amazon Linux до последней версии. В настоящее время мы внедряем ядро Amazon Linux новейшей версии в новые промежуточные выпуски ветвей 5.11.x и 4.9.x. Клиенты смогут создавать новые кластеры Amazon EMR с помощью этих выпусков. Мы обновим информацию в данном бюллетене, когда эти выпуски станут доступны.
Как упоминалось ранее, для текущих выпусков Amazon EMR и всех соответствующих действующих инстансов у клиентов рекомендуется обновить ядро Amazon Linux до последней версии. В случае новых кластеров клиенты могут использовать загрузочный сценарий для обновления ядра Linux и перезагрузить каждый инстанс. В случае уже запущенных кластеров клиенты могут установить обновление ядра Linux и последовательно перезагрузить каждый инстанс в кластере. Обратите внимание, что перезагрузка определенных процессов может повлиять на запущенные в кластере приложения.
RDS
В каждом инстансе клиентской базы данных под управлением RDS работает ядро базы данных только для одного клиента. В этих инстансах нет других доступных клиентам процессов, а клиенты не могут выполнять код в базовом инстансе. Специалисты AWS полностью реализовали защиту всей инфраструктуры, на которой находится RDS, поэтому аспекты этой проблемы, связанные с взаимодействием «процесс-ядро» и «процесс-процесс», не представляют риск для клиентов. На данный момент в большинстве ядер баз данных, поддерживаемых сервисом RDS, нет известных проблем в рамках процессов. Ниже представлена дополнительная информация для определенных ядер баз данных. Если не указано иное, от клиента не требуется никаких действий.
Что касается инстансов баз данных RDS для SQL Server, мы выпустим исправления для ОС и ядер баз данных, как только корпорация Microsoft сделает их доступными, и клиенты смогут выполнить обновление в удобное для них время. Мы обновим информацию в данном бюллетене, как только будут готовы какие-либо исправления. Тем временем, клиентам, которые включили среду CLR (которая по умолчанию отключена), следует изучить рекомендации Microsoft по выключению расширения CLR, приведенные на странице https://support.microsoft.com/ru-ru/help/4073225/guidance-for-sql-server.
Что касается RDS PostgreSQL и Aurora PostgreSQL, для инстансов БД с конфигурацией по умолчанию на данный момент не требуется действий клиента. Мы предоставим пользователям расширений plv8 соответствующие исправления, когда они появятся. До этого клиентам, у которых включены расширения plv8 (отключенные по умолчанию), рекомендуется отключить их и ознакомиться с рекомендациями V8 на странице https://github.com/v8/v8/wiki/Untrusted-code-mitigations.
На данный момент в инстансах RDS для MariaDB, RDS для MySQL, Aurora MySQL и RDS для Oracle от клиентов не требуется никаких действий.
VMware Cloud on AWS
По данным компании VMware, «исправление, задокументированное в VMSA-2018-0002, присутствует в VMware Cloud on AWS с начала декабря 2017 г.»
Дополнительную информацию см. в блоге, посвященном безопасности и соответствию требованиям для VMware, а обновленное состояние – на сайте https://status.vmware-services.io.
WorkSpaces
Для пользователей среды Windows 7 в Windows Server 2008 R2:
Компания Microsoft выпустила новые обновления для системы безопасности Windows Server 2008 R2, устраняющие эту проблему. Для успешной доставки этих обновлений требуется совместимая антивирусная программа, работающая на сервере, как указано в описании обновления для системы безопасности от Microsoft: https://support.microsoft.com/ru-ru/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Пользователям WorkSpaces необходимо принять меры для получения этих обновлений. Следуйте инструкциям от Microsoft, представленным в этой статье: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Для пользователей среды Windows 10 в Windows Server 2016:
Специалисты AWS применили обновления для системы безопасности к WorkSpaces со средой Windows 10 в Windows Server 2016. В систему Windows 10 встроена антивирусная программа «Защитник Windows», совместимая с этими обновлениями для системы безопасности. От клиентов не требуется дальнейших действий.
Для пользователей модели BYOL и тех клиентов, которые изменили стандартные параметры обновления:
Обратите внимание, что клиенты, использующие функцию поддержки собственных лицензий (BYOL) на WorkSpaces, и те клиенты, которые изменили заданные по умолчанию параметры обновления в WorkSpaces, должны вручную применить обновления для системы безопасности, предоставленные компанией Microsoft. Если это касается вас, следуйте инструкциям от консультантов Microsoft по безопасности, представленным на странице https://portal.msrc.microsoft.com/ru-RU/security-guidance/advisory/ADV180002. В советы по безопасности включены ссылки на статьи базы знаний для серверных и клиентских операционных систем Windows, где представлена дополнительная информация для конкретных продуктов.
Обновленные пакеты WorkSpaces скоро станут доступны в составе обновлений для системы безопасности. Клиентам, которые создали собственные пакеты, следует обновить свои пакеты, добавив в них сами обновления для системы безопасности. Все новые инстансы WorkSpaces, запущенные из пакетов, в которых нет обновлений, получат исправления вскоре после запуска, если только клиенты не изменили параметры обновления по умолчанию в WorkSpaces и не установили несовместимые антивирусные программы. В противном случае им следует выполнить указанные выше действия, чтобы вручную применить обновления для системы безопасности от Microsoft.
WorkSpaces Application Manager (WAM)
Рекомендуем клиентам выбрать один из приведенных ниже планов действий.
Вариант 1. Вручную примените обновления Microsoft к работающим инстансам WAM Packager и Validator, следуя инструкциям от Microsoft из статьи https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. На этой странице представлены дополнительные инструкции и соответствующие загрузки.
Вариант 2. Завершите работу имеющихся инстансов Packager и Validator. Запустите новые инстансы при помощи наших обновленных образов AMI с именами «Amazon WAM Admin Studio 1.5.1» и «Amazon WAM Admin Player 1.5.1».