Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Актуальная версия представлена здесь: «Сообщение об исследовании спекулятивного выполнения на процессорах».

Относится к: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Последнее обновление: 11.01.2018 в 11:30 по тихоокеанскому стандартному времени

Это обновление предназначено для устранения данной проблемы.

Опубликован второй выпуск ядра для Amazon Linux, в котором исправлены ошибки KPTI и улучшены меры безопасности, описанные в документе CVE-2017-5754. Клиентам необходимо обновить ядро или AMI Amazon Linux до последней версии, чтобы эффективно устранить в своих инстансах уязвимости межпроцессного взаимодействия, описанные в документе CVE-2017-5754. См. информацию в разделе «AMI Amazon Linux» ниже.  

Информацию о паравиртуализированных инстансах (PV) см. в разделе «Рекомендации по инстансам PV» ниже.

Amazon EC2

Все инстансы в сервисе Amazon EC2 защищены от всех известных проблем, связанных с взаимодействием между инстансами и описанных в перечисленных выше документах CVE. Предполагается, что недоверенный соседний инстанс может выполнять чтение данных из памяти другого инстанса или гипервизора AWS. Эта проблема была устранена для гипервизоров AWS, и теперь ни один инстанс не может выполнять чтение данных из памяти других инстансов и гипервизоров AWS. Мы не обнаружили заметного влияния на производительность подавляющего большинства рабочих нагрузок EC2.

Действия, которые рекомендуется выполнить клиентам, использующим сервисы AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce и Amazon Lightsail

Все инстансы клиентов защищены, как описано выше, но мы рекомендуем применить исправления для операционных систем ваших инстансов, чтобы изолировать программы, работающие в одних и тех же инстансах, и устранить проблемы, связанные с взаимодействием между процессами и указанные в документе CVE-2017-5754. Дополнительные сведения см. в соответствующих документах о доступности и руководствах по развертыванию исправлений поставщиков.

Руководства поставщиков

Если нужной операционной системы нет в списке, получите необходимые обновления и инструкции у поставщика используемой вами операционной системы или AMI.

Рекомендации по инстансам PV

В результате продолжительных исследований и подробного анализа доступных исправлений операционных систем для устранения этой проблемы мы установили, что в операционных системах не реализована достаточная защита для устранения проблем с взаимодействием «процесс-процесс» в паравиртуализированных (PV) инстансах. Как описано выше, гипервизоры AWS защищают инстансы PV от проблем с взаимодействием «инстанс-инстанс», но тем клиентам, которых беспокоит изоляция процессов в инстансах PV (например, обработка ненадежных данных, запуск ненадежного кода и размещение недоверенных пользователей), настоятельно рекомендуется перейти на инстансы типа HVM, чтобы получить более долгосрочные преимущества для безопасности.

Дополнительная информация о различиях между PV и HVM (а также документация по обновлению инстансов) представлена в следующей статье:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

Если вам нужна помощь с обновлением каких-либо инстансов PV, обратитесь в службу поддержки.

Обновления для других сервисов AWS

Работа над перечисленными ниже сервисами, для которых требовалось установить исправления инстансов EC2, управляемых от имени пользователей, завершена, и от клиентов не требуется никаких действий.

  • Fargate
  • Lambda

Если ниже не указано иное, для всех остальных сервисов AWS не требуются действия клиентов.

AMI Amazon Linux (идентификатор бюллетеня: ALAS-2018-939)

Обновленное ядро для Amazon Linux доступно в репозиториях Amazon Linux. В инстансы EC2, запущенные с использованием стандартной конфигурации Amazon Linux не ранее 8 января 2018 г., будет автоматически добавлен обновленный пакет, предназначенный для устранения ошибок KPTI и проблем, описанных в документе CVE-2017-5754.

ПРИМЕЧАНИЕ. Клиентам необходимо обновить ядро или AMI Amazon Linux до последней версии, чтобы эффективно устранить в своих инстансах проблемы, описанные в документе CVE-2017-5754. Мы продолжим улучшать Amazon Linux и обновлять AMI Amazon Linux. Для этого мы будем включать в них решения с открытым исходным кодом, созданные в сообществе Linux, которые позволяют устранить эту проблему (по мере публикации таких решений).

Клиентам, у которых уже есть инстансы AMI Amazon Linux, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:

sudo yum update kernel

Согласно стандартной методике, при каждом обновлении ядра Linux после выполнения команды yum update необходимо перезагрузить устройство, чтобы изменения вступили в силу.

Дополнительные сведения об этом бюллетене см. в Центре безопасности AMI Amazon Linux.

Если вы используете Amazon Linux 2, выполните приведенные выше инструкции для Amazon Linux.

EC2 Windows

Мы обновили AMI AWS Windows. Теперь клиенты могут использовать их. Кроме того, в AMI AWS Windows установлены необходимые исправления и включены необходимые разделы реестра.

Компания Microsoft предоставила исправления для ОС Windows Server версий 2008R2, 2012R2 и 2016. Исправления можно получить через встроенную службу обновления Windows в Server 2016. Мы ожидаем от компании Microsoft информацию о доступности исправлений для Server 2003, Server 2008SP2 и Server 2012RTM.

Клиентам AWS, использующим инстансы Windows на EC2 с включенной функцией автоматического обновления, следует запустить эту функцию, чтобы загрузить и установить необходимое обновление для ОС Windows (когда оно будет доступно).

Обратите внимание на то, что в настоящее время исправления для Server 2008R2 и Server 2012R2 недоступны через службу обновления Windows, и их необходимо загрузить вручную. Ранее компания Microsoft объявила, что эти исправления станут доступны во вторник 9 января, но мы до сих пор ждем информации об их доступности.

Клиентам AWS, использующим инстансы Windows на EC2 с отключенной функцией автоматического обновления, следует вручную установить необходимое обновление (когда оно станет доступно), выполнив инструкции по следующей ссылке: http://windows.microsoft.com/en-us/windows7/install-windows-updates.

Обратите внимание на то, что для Windows Server компания Microsoft требует выполнить дополнительные действия, чтобы включить защитные функции обновления для устранения данной проблемы. Эти действия описаны здесь: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

AMI, оптимизированный для сервиса ECS

Мы выпустили AMI, оптимизированный для сервиса Amazon ECS, версии 2017.09.f, в который включены все средства защиты Amazon Linux от этой проблемы, в том числе упомянутое выше второе обновление ядра Amazon Linux. Рекомендуем всем клиентам Amazon ECS выполнить обновление до последней версии, доступной в AWS Marketplace. Мы продолжим добавлять улучшения для Amazon Linux по мере их появления.

Клиентам, которым нужно обновить имеющиеся инстансы c AMI, оптимизированным для сервиса ECS, следует выполнить следующую команду, чтобы наверняка получить обновленный пакет:

sudo yum update kernel

Согласно стандартной методике, при каждом обновлении ядра Linux после выполнения команды yum update необходимо перезагрузить инстанс, чтобы изменения вступили в силу.

Пользователям Linux, не применяющим AMI, оптимизированный для сервиса ECS, рекомендуется проконсультироваться с поставщиками альтернативных или сторонних операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности AMI Amazon Linux.

Мы обновляем AMI Windows, оптимизированный для сервиса Amazon ECS, и когда у нас появятся новые сведения, мы внесем их в данный бюллетень. Компания Microsoft предоставила исправления для ОС Windows Server 2016. Сведения о том, как применять исправления для работающих инстансов, см. по следующей ссылке: https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.

Elastic Beanstalk

Мы обновили все платформы на основе Linux, добавив все средства защиты Amazon Linux от этой проблемы. См. примечания к выпускам для конкретных версий платформы. Рекомендуем пользователям Elastic Beanstalk обновить свои среды до последней доступной версии платформы. Среды, в которых используются управляемые обновления, будут автоматически обновлены в течение заданного окна технического обслуживания.

Команда Elastic Beanstalk продолжает работу над обновлениями для платформы Windows, которые будут доступны в ближайшие 12 часов. Мы рекомендуем клиентам Elastic Beanstalk, использующим платформы на основе Windows, вручную установить доступные обновления для систем безопасности, следуя инструкциям в приведенном выше разделе «EC2 Windows» данного бюллетеня.

EMR

Сервис Amazon EMR запускает кластеры инстансов Amazon EC2 под управлением Amazon Linux от имени клиентов в их аккаунтах. Как упоминалось ранее, клиентам, которых беспокоят вопросы изоляции процессов в рамках инстансов из кластеров Amazon EMR, следует обновить ядро Amazon Linux до последней версии. В настоящее время мы внедряем ядро Amazon Linux последней версии в новые промежуточные выпуски ветвей 5.11.x и 4.9.x. С помощью этих выпусков клиенты смогут создавать кластеры Amazon EMR. Мы обновим информацию в данном бюллетене, когда эти выпуски станут доступны.

Как упоминалось ранее, для текущих выпусков Amazon EMR и всех соответствующих действующих инстансов у клиентов рекомендуется обновить ядро Amazon Linux до последней версии. В случае новых кластеров клиенты могут использовать загрузочный сценарий для обновления ядра Linux и перезагрузить каждый инстанс. В случае уже запущенных кластеров клиенты могут установить обновление ядра Linux и последовательно перезагрузить каждый инстанс в кластере. Обратите внимание, что перезагрузка определенных процессов может повлиять на запущенные в кластере приложения.

RDS

В каждом инстансе клиентской базы данных под управлением RDS работает ядро базы данных только для одного клиента. В этих инстансах нет других доступных клиентам процессов, а клиенты не могут выполнять код в базовом инстансе. Специалисты AWS полностью реализовали защиту всей инфраструктуры, на базе которой работает RDS, поэтому аспекты этой проблемы, связанные с взаимодействием «процесс-ядро» и «процесс-процесс», не представляют риск для клиентов. На данный момент в большинстве ядер баз данных, поддерживаемых сервисом RDS, нет известных проблем в рамках процессов. Ниже представлена дополнительная информация для определенных ядер баз данных. Если не указано иное, от клиента не требуется никаких действий. Как только станет доступна дополнительная информация, мы соответствующим образом обновим данный бюллетень.

Что касается инстансов баз данных RDS для SQL Server, мы выпустим соответствующие исправления для ОС и ядер баз данных, как только компания Microsoft сделает их доступными, и клиенты смогут выполнить обновление в удобное для них время. Мы обновим информацию в данном бюллетене, как только будут готовы какие-либо исправления. Клиентам, которые включили среду CLR (отключенную по умолчанию), следует изучить рекомендации компании Microsoft по выключению расширения CLR, приведенные на странице https://support.microsoft.com/ru-ru/help/4073225/guidance-for-sql-server.

В RDS PostgreSQL и Aurora PostgreSQL для инстансов БД с конфигурацией, используемой по умолчанию, на данный момент не требуется никаких действий клиентов. Мы предоставим пользователям расширений plv8 соответствующие исправления, когда они появятся. До этого клиентам, у которых включены расширения plv8 (отключенные по умолчанию), рекомендуется отключить их и ознакомиться с рекомендациями V8 на странице https://github.com/v8/v8/wiki/Untrusted-code-mitigations.

На данный момент в инстансах RDS для MariaDB, RDS для MySQL, Aurora MySQL и RDS для Oracle от клиентов не требуется никаких действий.

VMware Cloud on AWS

По данным компании VMware, «исправление, задокументированное в VMSA-2018-0002, присутствует в VMware Cloud on AWS с начала декабря 2017 г.».

Дополнительную информацию см. в блоге, посвященном безопасности и соответствию требованиям для VMware, а обновленное состояние – на сайте https://status.vmware-services.io.

WorkSpaces

В течение следующей недели AWS будет применять обновления для систем безопасности, выпускаемые компанией Microsoft, для большей части AWS WorkSpaces. В этот период возможны перезапуски WorkSpaces клиентов.

Клиентам, использующим функцию поддержки собственных лицензий (BYOL), и клиентам, которые изменили заданные по умолчанию параметры обновления в своих WorkSpaces, следует вручную применить обновления для систем безопасности, предоставленные компанией Microsoft.

Выполните инструкции от консультантов по безопасности компании Microsoft, представленные на странице https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. В советы по безопасности включены ссылки на статьи базы знаний для серверных и клиентских операционных систем Windows, где представлена дополнительная информация для конкретных продуктов.

Обновленные пакеты WorkSpaces скоро станут доступны в составе обновлений для системы безопасности. Клиентам, которые создали собственные пакеты, следует обновить их, самостоятельно добавив обновления для систем безопасности. Все новые инстансы WorkSpaces, запускаемые из пакетов, в которых нет обновлений, получат исправления вскоре после запуска, если только клиенты не изменили в них параметры обновления, используемые по умолчанию. В противном случае следует вручную применить обновления для систем безопасности от компании Microsoft, выполнив указанные выше действия.

WorkSpaces Application Manager (WAM)

Рекомендуем клиентам выбрать один из приведенных ниже планов действий.

Вариант 1. Вручную примените исправления от компании Microsoft для работающих инстансов WAM Packager и Validator, следуя инструкциям Microsoft, приведенным в статье https://support.microsoft.com/ru-ru/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution. На этой странице представлены дополнительные инструкции и файлы для загрузки, предназначенные для Windows Server.

Вариант 2. Заново создайте инстансы EC2 WAM Packager и Validator на основе обновленных AMI для WAM Packager and Validator, которые будут доступны к концу дня (04.01.2018).