Konu: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Güncelleme Başlangıcı: 5.03.2018 15:00 PST
Bu güncelleme, bu sorunla ilgilidir.
Amazon Linux için güncellenmiş bir çekirdek, Amazon Linux depolarında mevcuttur. Varsayılan Amazon Linux yapılandırmasıyla 13 Ocak 2018 tarihinde veya sonrasında başlatılan EC2 bulut sunucularında otomatik olarak, çekirdekteki CVE-2017-5715 kodlu sorunu gidermeye yönelik en son tutarlı açık kaynak Linux güvenlik iyileştirmelerini içeren ve daha önce paket içinde bulunup CVE-2017-5754 kodlu sorunu gideren Kernel Page Table Isolation'a (KPTI) dayanan güncellenmiş paket yer alacaktır. Müşterilerin, bulut sunucularında CVE-2017-5715'e yönelik işlemden işleme süreçlerdeki endişeleri ve CVE-2017-5754'e yönelik işlemden çekirdeğe süreçlerdeki endişeleri etkili bir şekilde azaltmak için en son Amazon Linux çekirdek veya AMI sürümüne yükseltme yapması gerekmektedir. Daha fazla bilgi için "İşlemci Kurgusal Yürütme - İşletim Sistemi Güncellemeleri" bölümüne göz atın.
Yarı sanallaştırılmış (PV) bulut sunucuları hakkında daha fazla bilgi için lütfen aşağıdan "PV Bulut Sunucusu Kılavuzu" bölümüne göz atın.
Amazon EC2
Amazon EC2 filosundaki tüm bulut sunucuları, CVE-2017-5715, CVE-2017-5753 ve CVE-2017-5754’e yönelik bulut sunucusundan bulut sunucusuna süreçlerdeki bilinen tüm endişelere karşı korunmaktadır. Bulut sunucusundan bulut sunucusuna süreçlerdeki endişeler, güvenilir olmayan bir komşu bulut sunucusunun başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyabileceği hakkında varsayımda bulunur. Bu sorun, AWS hipervizörleri için çözülmüştür. Hiçbir bulut sunucusu başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyamaz. Daha önce belirtildiği üzere, EC2 iş yüklerinin büyük çoğunluğunda anlamlı performans etkileri gözlemlemedik.
12 Ocak 2018 tarihinden itibaren, Intel mikro kod güncellemeleri sebebiyle az sayıda kilitlenme ve diğer tahmin edilemeyen davranışlar gözlemlediğimiz AWS'deki platformlar için yeni Intel CPU mikro kod bölümlerini devre dışı bırakma işlemini tamamladık. Bu değişiklik az sayıdaki bulut sunucuları için bu sorunları azalttı.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce ve Amazon Lightsail İçin Tavsiye Edilen Müşteri Eylemleri
Tüm müşterilerin bulut sunucuları yukarıda belirtildiği şekilde korunuyor olsa da müşterilerin işlemden işleme veya işlemden çekirdeğe süreçlerdeki endişeleri gidermek için bulut sunucusu işletim sistemlerine düzeltme eki uygulamalarını tavsiye ederiz. Amazon Linux ve Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE ve Ubuntu'ya yönelik daha fazla bilgi ve yönerge için lütfen "İşlemci Kurgusal Yürütme - İşletim Sistemi Güncellemeleri" bölümüne göz atın.
PV Bulut Sunucusu Kılavuzu
Bu soruna yönelik kullanıma sunulan işletim sistemi düzeltme ekleri için yapılan sürekli araştırma ve detaylı analizlerin ardından işletim sistemi korumalarının, yarı sanallaştırılmış (PV) bulut sunucularında işlemden işleme süreçlerdeki endişeleri gidermeye yönelik yeterli çözüm sunmadıklarını belirledik. PV bulut sunucuları, yukarıda belirtildiği şekilde AWS hipervizörleri tarafından bulut sunucusundan bulut sunucusuna süreçlerdeki endişelere karşı korunuyor olsa da PV bulut sunucuları içerisinde işlem yalıtımı (ör. güvenilir olmayan veri işleme, güvenilir olmayan kod çalıştırma, güvenilir olmayan kullanıcı barındırma) hakkında endişeleri olan müşterilerin daha uzun ömürlü güvenlik avantajları sunan HVM bulut sunucusu tiplerine geçiş yapmaları önemle tavsiye edilir.
PV ile HVM arasındaki farklar (ve ayrıca bulut sunucusu yükseltme yolu belgeleri) hakkında daha fazla bilgi için lütfen şuraya göz atın:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Herhangi bir PV bulut sunucusu için yükseltme yolu yardımına ihtiyaç duyuyorsanız lütfen Destek Ekibiyle iletişime geçin.
Diğer AWS hizmetlerindeki güncellemeler
Müşterilerin adına yönetilen EC2 bulut sunucularına düzeltme eki uygulanmasını gerektiren şu hizmetlerde tüm işler tamamlanmıştır ve müşterilerin herhangi bir işlem yapmasına gerek yoktur:
- Fargate
- Lambda
Aşağıda aksi belirtilmediği taktirde, müşterilerin diğer AWS hizmetlerinde bir işlem yapmasına gerek yoktur.
ECS İçin Optimize Edilmiş AMI
Bu sorun için tüm Amazon Linux korumalarını barındıran Amazon ECS İçin Optimize Edilmiş AMI 2017.09.g sürümünü yayınladık. Tüm Amazon ECS müşterilerinin, AWS Marketplace'te bulunan bu en son sürüme yükseltme yapmalarını tavsiye ediyoruz.
Mevcut ECS İçin Optimize Edilmiş AMI bulut sunucularını güncellemeyi seçen müşterilerin, güncellenmiş paketi aldıklarından emin olmaları için şu komutu çalıştırmaları gerekir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
ECS İçin Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncellemeler ve talimatlar için diğer alternatif/üçüncü taraf işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi'nde yer almaktadır.
Amazon ECS İçin Optimize Edilmiş Windows AMI 2018.01.10 sürümünü yayınladık. Çalışan bulut sunucularına düzeltme eklerini nasıl uygulayacağınız hakkında ayrıntılı bilgi için "İşlemci Kurgusal Yürütme - İşletim Sistemi Güncellemeleri" bölümüne göz atın.
Elastic Beanstalk
Bu soruna yönelik tüm Amazon Linux korumalarını içerecek şekilde Linux tabanlı tüm platformları güncelledik. Belirli platform sürümleri için sürüm notlarına göz atın. Elastic Beanstalk müşterilerinin, ortamlarını mevcut en son platform sürümüne güncellemelerini öneririz. Yönetilen Güncellemeler kullanan ortamlar, yapılandırılmış bakım süresi içinde otomatik olarak güncellenecektir.
Windows tabanlı platformlar da, bu sorunla ilgili olarak tüm EC2 Windows korumalarını dahil etmek için güncellenmiştir. Müşterilerin Windows tabanlı Elastic Beanstalk ortamlarını en güncel platform yapılandırmasına güncellemeleri önerilir.
ElastiCache
ElastiCache yönetimli müşteri önbellek düğümlerinin her biri, bir müşteri için tek önbellek altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, ElastiCache'in temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. ElastiCache'in desteklediği iki önbellek altyapısında da şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir.
EMR
Amazon EMR, müşterilerin adına müşteri hesabında Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümeleri başlatır. Amazon EMR kümelerinin bulut sunucuları içerisinde işlem yalıtımı hakkında endişe duyan müşterilerin, yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne yükseltme yapmaları gerekir. En son Amazon Linux çekirdeğini, yeni küçük 5.11.1, 5.8.1, 5.5.1 ve 4.9.3 sürümlerine dahil ettik. Müşteriler bu sürümlerle yeni Amazon EMR kümeleri oluşturabilir.
Mevcut Amazon EMR sürümleri ve müşterilerin sahip olabileceği diğer çalışan ilişkili bulut sunucuları için yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne güncelleme yapılmasını tavsiye ediyoruz. Yeni kümelerde, Linux çekirdek güncellemesi ve her bir bulut sunucusunu yeniden başlatma için müşteriler bir önyükleme eylemi kullanabilir. Çalışan kümelerde, müşteriler Linux çekirdek güncellemesine olanak sağlayabilir ve değişimli bir şekilde kümelerindeki her bulut sunucusu için yeniden başlatma gerçekleştirebilir. Belirli işlemlerin yeniden başlatılmasının küme içindeki çalışan uygulamaları etkileyebileceğini lütfen unutmayın.
RDS
RDS yönetimli müşteri veritabanı bulut sunucularının her biri, bir müşteri için tek veritabanı altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, RDS'nin temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. RDS'nin desteklediği çoğu veritabanı altyapısında şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir. Veritabanı altyapısına özel ek ayrıntılar aşağıda verilmiştir ve aksi bildirilmediği takdirde müşterilerin herhangi bir işlem yapmasına gerek yoktur.
SQL Server Veritabanı Bulut Sunucuları için RDS'ye yönelik olarak, şu altyapı sürümlerinde Microsoft düzeltme eklerinin bulunduğu işletim sistemi ve altyapı düzeltme ekleri yayınladık:
SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)
Müşterilerin, bu düzeltme eklerini uygularken Microsoft'un kılavuzlarını incelemesi ve bunları kendi seçtikleri bir zamanda uygulaması gerekir:
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
RDS PostgreSQL ve Aurora PostgreSQL için, mevcut olarak varsayılan yapılandırmada çalışan Veritabanı Bulut Sunucularında müşterilerin herhangi bir işlem yapmasına gerek yoktur. plv8 uzantılarını kullanan kullanıcılar için uygun düzeltme eklerini, hazır oldukları zaman sunacağız. Bu süre içinde, varsayılan olarak devre dışı halde bulunan plv8 uzantılarını etkinleştirmiş müşteriler bunları devre dışı bırakmayı düşünmeli ve https://github.com/v8/v8/wiki/Untrusted-code-mitigations adresindeki V8'in kılavuzuna göz atmalıdır.
RDS for MariaDB, RDS for MySQL, Aurora MySQL ve RDS for Oracle veritabanı bulut sunucularında müşterilerin herhangi bir işlem yapmasına gerek yoktur.
VMware Cloud on AWS
VMware için, "VMSA-2018-0002'de belgelenmiş olan iyileştirme, Aralık 2017 tarihinden beri VMware Cloud on AWS içerisinde mevcuttur."
Daha fazla bilgi için lütfen VMware Güvenlik ve Uygunluk Blogu'na ve güncel durum için https://status.vmware-services.io adresine göz atın.
WorkSpaces
Windows Server 2008 R2 üzerinde Windows 7 deneyimi yaşayan müşteriler için:
Microsoft bu soruna yönelik olarak Windows Server 2008 R2 için bir güncelleme yayınlamıştır. Bu güncellemelerin başarılı bir şekilde teslim edilmesi için Microsoft'un güvenlik güncellemesinde belirtildiği gibi uyumlu antivirüs yazılımlarının sunucuda yüklü olması gerekir: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. Çalışma Alanlarını kullanan müşterilerin, bu güncellemeleri edinmek için işlem yapması gerekir. Lütfen Microsoft'un şu adresteki talimatlarını izleyin: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Windows Server 2016 üzerinde Windows 10 deneyimi yaşayan müşteriler için:
AWS, Windows Server 2016 üzerinde Windows 10 deneyimi çalıştıran WorkSpaces için güvenlik güncellemeleri yayınladı. Windows 10'da bu güvenlik güncellemeleriyle uyumlu olan yerleşik Windows Defender Virüs Önleme yazılımı bulunmaktadır. Müşterilerin başka herhangi bir işlem yapmasına gerek yoktur.
KLG ve değiştirilmiş varsayılan güncelleme ayarlarına sahip müşteriler için:
WorkSpaces Kendi Lisansını Getir (KLG) özelliğini kullanan müşterilerin ve WorkSpaces’lerindeki varsayılan güncelleme ayarlarını değiştirmiş olan müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamaları gerektiğini lütfen unutmayın. Bu durum sizin için geçerliyse lütfen https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 adresindeki Microsoft güvenlik önerisi tarafından sunulan talimatları izleyin. Güvenlik önerisinde, Windows Server ve İstemci işletim sistemleri için daha fazla özel bilgi sunan bilgi bankası makalelerine bağlantılar bulunur.
Güncellenmiş Çalışma Alanları paketleri, güvenlik güncellemeleriyle yakında kullanıma sunulacaktır. Özel Paketler oluşturan müşterilerin, güvenlik güncellemelerini içerecek şekilde paketlerini güncellemesi gerekir. Güncellemelere sahip olmayan paketlerden başlatılan her yeni WorkSpaces, başlatıldıktan hemen sonra düzeltme eklerini alır. Ancak müşteriler, WorkSpaces’lerindeki varsayılan güncelleme ayarlarını değiştirdiyse veya uyumlu olmayan bir virüsten koruma yazılımı yüklediyse Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamak için yukarıdaki adımları izlemelidir.
WorkSpaces Application Manager (WAM)
Müşterilerin şu işlemlerden birini seçmelerini tavsiye ederiz:
1. Seçenek: Microsoft tarafından https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution adresinde sunulan adımları izleyerek çalışan WAM Paketleyici ve Doğrulayıcı bulut sunucularında Microsoft güncellemelerini manuel olarak uygulama. Bu sayfada daha fazla talimat ve ilgili indirmeler bulunur.
2. Seçenek: mevcut Paketleyici ve Doğrulayıcı bulut sunucularınızı sonlandırma. "Amazon WAM Admin Studio 1.5.1" ve "Amazon WAM Admin Player 1.5.1" olarak etiketlendirilen güncellenmiş AMI'lerimizi kullanarak yeni bulut sunucuları başlatın.