Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Актуальная версия представлена здесь: «Сообщение об исследовании спекулятивного выполнения на процессорах».
Относится к: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Последнее обновление: 05.01.2018 в 13:30 по тихоокеанскому стандартному времени
Это обновление предназначено для устранения данной проблемы.
Amazon EC2
Все инстансы в сервисе Amazon EC2 защищены от всех известных категорий угроз, указанных в перечисленных выше документах CVE. Кроме того, инстансы клиентов защищены от угроз, которые могут исходить из других инстансов. Мы не обнаружили заметного влияния на производительность подавляющего большинства рабочих нагрузок EC2.
Действия, которые рекомендуется выполнить клиентам, использующим сервисы AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce и Amazon Lightsail
Несмотря на то что все инстансы клиентов защищены, мы рекомендуем клиентам установить исправления для операционных систем в их инстансах. Это позволит усилить защиту, обеспечиваемую операционными системами, и изолировать различные программы, работающее в одном и том же инстансе. Дополнительные сведения см. в соответствующих документах о доступности и руководствах по развертыванию исправлений поставщиков.
Руководства поставщиков
- Amazon Linux – дополнительные сведения см. ниже.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Если нужной операционной системы нет в списке, получите необходимые обновления и инструкции у поставщика используемой вами операционной системы или AMI.
Обновления для других сервисов AWS
AMI Amazon Linux (идентификатор бюллетеня: ALAS-2018-939)
Обновленное ядро для Amazon Linux доступно в репозиториях Amazon Linux. В инстансы EC2, запущенные с использованием стандартной конфигурации Amazon Linux не ранее 22:45 (GMT) 3 января 2018 г., необходимый пакет будет добавлен автоматически. Клиентам, у которых уже есть инстансы AMI Amazon Linux, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:
sudo yum update kernel
После выполнения команды yum update необходимо перезапустить инстанс, чтобы изменения вступили в силу.
Дополнительные сведения об этом бюллетене см. в Центре безопасности AMI Amazon Linux.
EC2 Windows
Мы обновляем AMI Windows Server, используемый по умолчанию, и когда у нас появятся новые сведения, мы внесем их в этот бюллетень.
AMI, оптимизированный для сервиса ECS
Мы выпустили AMI, оптимизированный для сервиса Amazon ECS, версии 2017.09.e, в который включены все средства защиты Amazon Linux, необходимые для устранения этой проблемы. Рекомендуем всем клиентам Amazon ECS выполнить обновление до последней версии, доступной в AWS Marketplace. Клиентам, которые хотят обновить имеющиеся инстансы, необходимо выполнить следующую команду для каждого инстанса контейнера:
sudo yum update kernel
Для завершения обновления потребуется перезапустить инстанс контейнера.
Пользователям Linux, не применяющим AMI, оптимизированный для сервиса ECS, рекомендуется проконсультироваться с поставщиками альтернативных или сторонних операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности AMI Amazon Linux.
Обновленные AMI Microsoft Windows EC2 и AMI, оптимизированный для сервиса ECS, будут выпущены в виде исправлений компании Microsoft.
Elastic Beanstalk
В течение ближайших 48 часов мы выпустим новые версии платформы с обновлением ядра, предназначенным для устранения этой проблемы. Для сред Linux мы рекомендуем включить управляемые обновления платформы, чтобы можно было автоматически выполнить обновление в рамках выбранного вами окна технического обслуживания (когда необходимые обновления станут доступными). Мы опубликуем инструкции для сред Windows, когда соответствующее обновление станет доступным.
AWS Fargate
Описанные выше обновления уже применены для всей инфраструктуры, в которой выполняются задачи Fargate, и клиентам не нужно предпринимать никаких действий.
Amazon FreeRTOS
Для ОС Amazon FreeRTOS и поддерживаемых ею процессоров ARM не требуются никакие обновления.
AWS Lambda
Описанные выше обновления уже применены для всех инстансов, в которых выполняются функции Lambda, и клиентам не нужно предпринимать никаких действий.
VMware Cloud on AWS
Дополнительные сведения см. в рекомендациях по обеспечению безопасности VMware по адресу https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
WorkSpaces
В течение следующей недели AWS будет применять обновления для систем безопасности, выпускаемые компанией Microsoft, для большей части AWS WorkSpaces. В этот период возможны перезапуски WorkSpaces клиентов.
Клиентам, использующим функцию поддержки собственных лицензий (BYOL), и клиентам, которые изменили заданные по умолчанию параметры обновления в своих WorkSpaces, следует вручную применить обновления для систем безопасности, предоставленные компанией Microsoft.
Выполните инструкции от консультантов по безопасности компании Microsoft, представленные на странице https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. В советы по безопасности включены ссылки на статьи базы знаний для серверных и клиентских операционных систем Windows, где представлена дополнительная информация для конкретных продуктов.
Обновленные пакеты WorkSpaces скоро станут доступны в составе обновлений для систем безопасности. Клиентам, которые создали собственные пакеты, следует обновить их, самостоятельно добавив обновления для систем безопасности. Все новые инстансы WorkSpaces, запускаемые из пакетов, в которых нет обновлений, получат исправления вскоре после запуска, если только клиенты не изменили в них параметры обновления, используемые по умолчанию. В противном случае следует вручную применить обновления для систем безопасности от компании Microsoft, выполнив указанные выше действия.
WorkSpaces Application Manager (WAM)
Рекомендуем клиентам выбрать один из приведенных ниже планов действий.
Вариант 1. Вручную примените исправления от компании Microsoft для работающих инстансов WAM Packager и Validator, следуя инструкциям Microsoft, приведенным в статье https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. На этой странице представлены дополнительные инструкции и файлы для загрузки, предназначенные для Windows Server.
Вариант 2. Заново создайте инстансы EC2 WAM Packager и Validator на основе обновленных AMI для WAM Packager and Validator, которые будут доступны к концу дня (04.01.2018).