Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Актуальная версия представлена здесь: «Сообщение об исследовании спекулятивного выполнения на процессорах».

Относится к: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Последнее обновление: 07.01.2018 в 11:30 по тихоокеанскому стандартному времени

Это обновление предназначено для устранения данной проблемы.

Amazon EC2

Все инстансы в сервисе Amazon EC2 защищены от всех известных категорий угроз, указанных в перечисленных выше документах CVE. Кроме того, инстансы клиентов защищены от угроз, которые могут исходить из других инстансов. Мы не обнаружили заметного влияния на производительность подавляющего большинства рабочих нагрузок EC2.

Действия, которые рекомендуется выполнить клиентам, использующим сервисы AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce и Amazon Lightsail

Несмотря на то что все инстансы клиентов защищены, мы рекомендуем клиентам установить исправления для операционных систем в их инстансах. Это позволит усилить защиту, обеспечиваемую операционными системами, и изолировать различные программы, работающее в одном и том же инстансе. Дополнительные сведения см. в соответствующих документах о доступности и руководствах по развертыванию исправлений поставщиков.

Руководства поставщиков

Если нужной операционной системы нет в списке, получите необходимые обновления и инструкции у поставщика используемой вами операционной системы или AMI.

Обновления для других сервисов AWS

AMI Amazon Linux (идентификатор бюллетеня: ALAS-2018-939)

Обновленное ядро для Amazon Linux доступно в репозиториях Amazon Linux. В инстансы EC2, запущенные с использованием стандартной конфигурации Amazon Linux не ранее 22:45 (GMT) 3 января 2018 г., необходимый пакет будет добавлен автоматически. Клиентам, у которых уже есть инстансы AMI Amazon Linux, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:

sudo yum update kernel

После выполнения команды yum update необходимо перезапустить инстанс, чтобы изменения вступили в силу.

Дополнительные сведения об этом бюллетене см. в Центре безопасности AMI Amazon Linux.

EC2 Windows

Мы обновили AMI AWS Windows. Теперь клиенты могут использовать их. Кроме того, в AMI AWS Windows установлены необходимые исправления и включены необходимые разделы реестра.

Компания Microsoft предоставила исправления для ОС Windows Server версий 2008R2, 2012R2 и 2016. Исправления можно получить через встроенную службу обновления Windows в Server 2016. Мы ожидаем от компании Microsoft информацию о доступности исправлений для Server 2003, Server 2008SP2 и Server 2012RTM.

Клиентам AWS, использующим инстансы Windows на EC2 с включенной функцией автоматического обновления, следует запустить эту функцию, чтобы загрузить и установить необходимое обновление для ОС Windows (когда оно будет доступно).

Обратите внимание на то, что в настоящее время исправления для Server 2008R2 и Server 2012R2 недоступны через службу обновления Windows, и их необходимо загрузить вручную. Компания Microsoft обещает, что эти исправления станут доступны во вторник 9 января.

Клиентам AWS, использующим инстансы Windows на EC2 с отключенной функцией автоматического обновления, следует вручную установить необходимое обновление (когда оно станет доступно), выполнив инструкции по следующей ссылке: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Обратите внимание на то, что для Windows Server компания Microsoft требует выполнить дополнительные действия, чтобы включить защитные функции обновления для устранения данной проблемы. Эти действия описаны здесь: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI, оптимизированный для сервиса ECS

Мы выпустили AMI, оптимизированный для сервиса Amazon ECS, версии 2017.09.e, в который включены все средства защиты Amazon Linux, необходимые для устранения этой проблемы. Рекомендуем всем клиентам Amazon ECS выполнить обновление до последней версии, доступной в AWS Marketplace. Клиентам, которые хотят обновить имеющиеся инстансы, необходимо выполнить следующую команду для каждого инстанса контейнера:

sudo yum update kernel

Для завершения обновления потребуется перезапустить инстанс контейнера.

Пользователям Linux, не применяющим AMI, оптимизированный для сервиса ECS, рекомендуется проконсультироваться с поставщиками альтернативных или сторонних операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности AMI Amazon Linux.

Обновленные AMI Microsoft Windows EC2 и AMI, оптимизированный для сервиса ECS, будут выпущены в виде исправлений компании Microsoft.

Elastic Beanstalk

В течение ближайших 48 часов мы выпустим новые версии платформы с обновлением ядра, предназначенным для устранения этой проблемы. Для сред Linux мы рекомендуем включить управляемые обновления платформы, чтобы можно было автоматически выполнить обновление в рамках выбранного вами окна технического обслуживания (когда необходимые обновления станут доступными). Мы опубликуем инструкции для сред Windows, когда соответствующее обновление станет доступным.  

AWS Fargate

Описанные выше обновления уже применены для всей инфраструктуры, в которой выполняются задачи Fargate, и клиентам не нужно предпринимать никаких действий.

Amazon FreeRTOS

Для ОС Amazon FreeRTOS и поддерживаемых ею процессоров ARM не требуются никакие обновления.

AWS Lambda

Описанные выше обновления уже применены для всех инстансов, в которых выполняются функции Lambda, и клиентам не нужно предпринимать никаких действий.

RDS

В каждом инстансе клиентской базы данных под управлением RDS работает ядро базы данных только для одного клиента. В этих инстансах нет других доступных клиентам процессов, а клиенты не могут выполнять код в базовом инстансе. Специалисты AWS полностью реализовали защиту всей инфраструктуры, на базе которой работает RDS, поэтому аспекты этой проблемы, связанные с взаимодействием «процесс-ядро» и «процесс-процесс», не представляют риск для клиентов. На данный момент в большинстве ядер баз данных, поддерживаемых сервисом RDS, нет известных проблем в рамках процессов. Ниже представлена дополнительная информация для определенных модулей баз данных. Если не указано иное, от клиента не требуется никаких действий. Как только станет доступна дополнительная информация, мы соответствующим образом обновим данный бюллетень.

На данный момент в инстансах RDS для MariaDB, RDS для MySQL, Aurora MySQL и RDS для Oracle от клиентов не требуется никаких действий.

В RDS PostgreSQL и Aurora PostgreSQL для инстансов БД с конфигурацией, используемой по умолчанию, на данный момент не требуется никаких действий клиентов. Мы предоставим пользователям расширений plv8 соответствующие исправления, когда они появятся. До этого клиентам, у которых включены расширения plv8 (отключенные по умолчанию), рекомендуется отключить их и ознакомиться с рекомендациями V8 на странице https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

Что касается инстансов баз данных RDS для SQL Server, мы выпустим соответствующие исправления для ОС и ядер баз данных, как только компания Microsoft сделает их доступными, и клиенты смогут выполнить обновление в удобное для них время. Мы обновим информацию в данном бюллетене, как только будут готовы какие-либо исправления. Клиентам, которые включили среду CLR (отключенную по умолчанию), следует изучить рекомендации компании Microsoft по выключению расширения CLR, приведенные на странице https://support.microsoft.com/ru-ru/help/4073225/guidance-for-sql-server.

VMware Cloud on AWS

Дополнительные сведения см. в рекомендациях по обеспечению безопасности VMware по адресу https://www.vmware.com/security/advisories/VMSA-2018-0002.html.

WorkSpaces

В течение следующей недели AWS будет применять обновления для систем безопасности, выпускаемые компанией Microsoft, для большей части AWS WorkSpaces. В этот период возможны перезапуски WorkSpaces клиентов.

Клиентам, использующим функцию поддержки собственных лицензий (BYOL), и клиентам, которые изменили заданные по умолчанию параметры обновления в своих WorkSpaces, следует вручную применить обновления для систем безопасности, предоставленные компанией Microsoft.

Выполните инструкции от консультантов по безопасности компании Microsoft, представленные на странице https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. В советы по безопасности включены ссылки на статьи базы знаний для серверных и клиентских операционных систем Windows, где представлена дополнительная информация для конкретных продуктов.

Обновленные пакеты WorkSpaces скоро станут доступны в составе обновлений для систем безопасности. Клиентам, которые создали собственные пакеты, следует обновить их, самостоятельно добавив обновления для систем безопасности. Все новые инстансы WorkSpaces, запускаемые из пакетов, в которых нет обновлений, получат исправления вскоре после запуска, если только клиенты не изменили в них параметры обновления, используемые по умолчанию. В противном случае следует вручную применить обновления для систем безопасности от компании Microsoft, выполнив указанные выше действия.

WorkSpaces Application Manager (WAM)

Рекомендуем клиентам выбрать один из приведенных ниже планов действий.

Вариант 1. Вручную примените исправления от компании Microsoft для работающих инстансов WAM Packager и Validator, следуя инструкциям Microsoft, приведенным в статье https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. На этой странице представлены дополнительные инструкции и файлы для загрузки, предназначенные для Windows Server.

Вариант 2. Заново создайте инстансы EC2 WAM Packager и Validator на основе обновленных AMI для WAM Packager and Validator, которые будут доступны к концу дня (04.01.2018).