Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. En son sürüm için lütfen şurayı ziyaret edin: "İşlemci Kurgusal Yürütme Araştırma Bilgilerinin Açığa Çıkması".
Konu: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Güncelleme Başlangıcı: 2018/01/13 10:20 PST
Bu güncelleme, bu sorunla ilgilidir.
Amazon Linux için KPTI hatalarını ele alan ve CVE-2017-5754 için azaltma işlemlerini iyileştiren ikinci bir çekirdek sürümü kullanıma sunuldu. Müşterilerin, bulut sunucularında CVE-2017-5754'e yönelik işlemden işleme süreçlerdeki endişeleri etkili bir şekilde azaltmak için en güncel Amazon Linux çekirdek veya AMI sürümüne yükseltme yapmaları gerekiyor. “Amazon Linux AMI” hakkında daha fazla bilgi için aşağıya bakın.
Yarı sanallaştırılmış (PV) bulut sunucuları hakkında daha fazla bilgi için lütfen aşağıdaki “PV Bulut Sunucusu Kılavuzu” kısmına bakın.
Amazon EC2
Amazon EC2 filosundaki tüm bulut sunucuları, daha önce listelenen CVE’lere yönelik bulut sunucusundan bulut sunucusuna süreçlerdeki bilinen tüm endişelere karşı korunmaktadır. Bulut sunucusundan bulut sunucusuna süreçlerdeki endişeler, güvenilir olmayan bir komşu bulut sunucusunun başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyabileceği hakkında varsayımda bulunur. Bu sorun, AWS hipervizörleri için çözülmüştür. Hiçbir bulut sunucusu başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyamaz. Daha önce belirtildiği üzere, EC2 iş yüklerinin büyük çoğunluğunda anlamlı performans etkileri gözlemlemedik.
Intel mikro kod güncellemelerinin neden olduğu az sayıda bulut sunucusu ve uygulama çökmeleri belirledik ve doğrudan etkilenen müşterilerle çalışıyoruz. Bu sorunları gördüğümüz AWS'deki platformlar için yeni Intel CPU mikro kodunun bazı bölümlerini devre dışı bırakmayı tamamladık. Bu işlemin bu bulut sunucuları ile ilgili sorunu hafiflettiği görüldü. Amazon EC2 filosundaki tüm bulut sunucuları bilinen tüm tehdit vektörlerinden korunur. Devre dışı bırakılmış Intel mikro kodu CVE-2017-5715’ten kaynaklanan teorik tehdit vektörlerine karşı ek korumalar sağladı. Intel güncellenmiş mikro kod sağladıktan sonra bu ek korumaları (üzerinde çalıştığımız bazı ek performans optimizasyonlarıyla birlikte) yeniden etkinleştirmeyi umuyoruz.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce ve Amazon Lightsail İçin Tavsiye Edilen Müşteri İşlemleri
Tüm müşterilerin bulut sunucuları yukarıda belirtildiği şekilde korunuyor olsa da, müşterilerin aynı bulut sunucusunu çalıştıran yazılımı yalıtmasını ve CVE-2017-5754’e yönelik işlemden işleme endişelerini azaltmasını tavsiye ederiz. Daha fazla bilgi için düzeltme ekine erişilebilirlik ve dağıtım hakkındaki özel satıcı kılavuzuna başvurun.
Özel satıcı kılavuzu:
- Amazon Linux – Aşağıda daha fazla bilgi verilmiştir.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Listelenmeyen işletim sistemleri için müşteriler güncellemeler ve talimatlara yönelik olarak işletim sistemi veya AMI satıcılarına danışmalıdır.
PV Bulut Sunucusu Kılavuzu
Bu soruna yönelik yayınlanan işletim sistemi düzeltme ekleri için yapılan sürekli araştırma ve detaylı analizlerin ardından işletim sistemi korumalarının, yarı sanallaştırılmış (PV) bulut sunucuları içerisindeki işlemden işleme süreçlerdeki endişelere yönelik yeterli çözüm sunmadıklarını belirledik. PV bulut sunucuları, yukarıda belirtildiği şekilde AWS hipervizörleri tarafından bulut sunucusundan bulut sunucusuna süreçlerdeki endişelere karşı korunuyor olsa da PV bulut sunucuları içerisinde işlem yalıtımı (ör. güvenilir olmayan veri işleme, güvenilir olmayan kod çalıştırma, güvenilir olmayan kullanıcı barındırma) hakkında endişeleri olan müşterilerin daha uzun ömürlü güvenlik avantajları sunan HVM bulut sunucusu tiplerine geçiş yapmaları önemle tavsiye edilir.
PV ile HVM arasındaki farklar (ve ayrıca bulut sunucusu yükseltme yolu belgeleri) hakkında daha fazla bilgi için lütfen şu adrese göz atın:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Herhangi bir PV bulut sunucusu için yükseltme yolu yardımına ihtiyaç duyuyorsanız lütfen Destek Ekibiyle iletişime geçin.
Diğer AWS hizmetlerindeki güncellemeler
Müşterilerin adına yönetilen EC2 bulut sunucularına düzeltme eki uygulanmasını gerektiren şu hizmetlerde tüm işler tamamlanmıştır ve müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur:
- Fargate
- Lambda
Aşağıda aksi belirtilmediği taktirde, müşterilerin diğer AWS hizmetlerinde bir işlem gerçekleştirmesine gerek yoktur.
Amazon Linux AMI (Bülten Kimliği: ALAS-2018-939)
Amazon Linux için güncellenmiş bir çekirdek, Amazon Linux depolarında mevcuttur. 8 Ocak 2018 tarihinde veya daha sonra varsayılan Amazon Linux yapılandırması ile kullanıma sunulan EC2 bulut sunucuları otomatik olarak KPTI hatalarını ele alan ve CVE-2017-5754 için etki azaltmayı iyileştiren güncellenmiş paketi içerecektir.
NOT: Müşterilerin, bulut sunucularında CVE-2017-5754'e yönelik endişeleri etkili şekilde azaltan en güncel Amazon Linux çekirdek veya AMI sürümüne yükseltme yapmaları gerekmektedir. Amazon Linux iyileştirmelerini ve güncel Amazon Linux AMI’lerini sağlamayı sürdüreceğiz. Bu doğrultuda açık kaynaklı Linux topluluğunun sorunu ele alan katkılarını erişilebilir oldukları anda dahil edeceğiz.
Hâlihazırda Amazon Linux AMI bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
Bu bülten hakkında daha fazla bilgiye Amazon Linux AMI Güvenlik Merkezi'nden erişilebilir.
Amazon Linux 2 için lütfen yukarıda açıklanan Amazon Linux talimatlarını takip edin.
EC2 Windows
AWS Windows AMI'lerini güncelledik. Bunlar artık müşterilerin kullanımına sunulmuştur. AWS Windows AMI'lerinde gerekli düzeltme eki yüklüdür ve kayıt anahtarları etkindir.
Microsoft, Server 2008R2, 2012R2 ve 2016 için Windows düzeltme ekleri sağlamıştır. Server 2016 için yerleşik Windows Update Hizmeti aracılığıyla düzeltme ekleri mevcuttur. Server 2003, 2008SP2 ve 2012RTM için düzeltme eklerinin kullanıma sunulması konusunda Microsoft'tan bilgi almayı bekliyoruz.
"Otomatik Güncellemelerin" etkin olduğu EC2 üzerinde Windows bulut sunucuları çalıştıran AWS müşterilerinin mevcut olduğunda gerekli güncellemeyi indirip yüklemek için otomatik güncellemeleri çalıştırması gerekmektedir.
Server 2008R2 ve 2012R2'nin şu anda manuel indirme gerektiren Windows Update aracılığıyla kullanılamadığını lütfen unutmayın. Microsoft daha önce bu düzeltme eklerinin 9 Ocak Salı günü kullanıma sunulacağını belirtmişti ancak bunların kullanıma sunulması konusunda hâlâ bilgi almayı bekliyoruz.
"Otomatik Güncellemelerin" etkin olmadığı EC2 üzerinde Windows bulut sunucuları çalıştıran AWS müşterileri, mevcut olduğunda gerekli güncellemeleri şu adreste verilen talimatları takip ederek manuel şekilde yüklemelidir: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Microsoft, Windows Server için bu soruna yönelik güncellemelerinin koruyucu özelliklerini etkinleştirmek için şu adreste açıklanan ek adımların uygulanmasını gerektirir: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS İçin Optimize Edilmiş AMI
Yukarıda bahsedilen ikinci Amazon Linux çekirdek güncellemesi dahil olmak üzere bu soruna yönelik tüm Amazon Linux korumalarını kapsayan Amazon ECS İçin Optimize Edilmiş AMI 2017.09.f sürümünü kullanıma sunduk. Tüm Amazon ECS müşterilerinin, AWS Marketplace'te bulunan bu en son sürüme yükseltme yapmalarını tavsiye ediyoruz. Amazon Linux iyileştirmelerini erişilebilir oldukları anda eklemeyi sürdüreceğiz.
Mevcut ECS İçin Optimize Edilmiş AMI bulut sunucularını güncellemeyi seçen müşterilerin, güncellenmiş paketi aldıklarından emin olmaları için şu komutu çalıştırmaları gerekir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
ECS için Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncellemeler ve talimatlar için diğer alternatif / üçüncü taraf işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlarAmazon Linux AMI Güvenlik Merkezi'nde yer almaktadır.
Amazon ECS için optimize edilmiş Windows AMI’yi güncelliyoruz ve erişilebilir olduğunda bu bülteni de güncelleyeceğiz. Microsoft, Server 2016 için Windows düzeltme ekleri sağlamıştır. Düzeltme eklerini çalışan bulut sunucularına nasıl uygulayacağınız hakkında daha fazla bilgi için bk. https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Bu sorunla ilgili olarak tüm Amazon Linux korumalarını dahil etmek için tüm Linux tabanlı platformları güncelledik. Belirli platform sürümleri için sürüm notlarına göz atın. Elastic Beanstalk müşterilerinin, ortamlarını en güncel platform sürümüne güncellemelerini öneriyoruz. Yönetilen Güncellemeler kullanan ortamlar, yapılandırılmış bakım süresi içinde otomatik olarak güncellenecektir.
Windows tabanlı platformlar da, bu sorunla ilgili olarak tüm EC2 Windows korumalarını dahil etmek için güncellenmiştir. Müşterilerin Windows tabanlı Elastic Beanstalk ortamlarını en güncel platform yapılandırmasına güncellemeleri önerilir.
ElastiCache
ElastiCache yönetimli müşteri önbellek düğümlerinin her biri, bir müşteri için tek önbellek altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, ElastiCache'in temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. ElastiCache'in desteklediği iki önbellek altyapısında da şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir.
EMR
Amazon EMR, müşterilerin adına müşteri hesabında Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümeleri başlatmaktadır. Amazon EMR kümelerinin bulut sunucuları içerisinde işlem yalıtımı hakkında endişe duyan müşterilerin, yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne yükseltme yapmaları gerekir. Şu anda en son Amazon Linux çekirdeğini 5.11.x branch ve 4.9.x branch üzerinde bulunan yeni bir alt sürüm ile birleştirmekteyiz. Müşteriler, bu sürümlerle yeni Amazon EMR kümeleri oluşturabilecektir. Bu sürümler erişilebilir hale geldikçe bu bülteni güncelleyeceğiz.
Mevcut Amazon EMR sürümleri ve müşterilerin sahip olabileceği diğer çalışan ilişkili bulut sunucuları için yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne güncelleme yapılmasını tavsiye ediyoruz. Yeni kümelerde, Linux çekirdek güncellemesi ve her bir bulut sunucusunu yeniden başlatma için müşteriler bir önyükleme işlemi yapabilir. Çalışan kümelerde, müşteriler Linux çekirdek güncellemesine olanak sağlayabilir ve değişimli bir şekilde kümelerindeki her bulut sunucusu için yeniden başlatma gerçekleştirebilir. Belirli işlemlerin yeniden başlatılmasının küme içindeki çalışan uygulamaları etkileyebileceğini lütfen unutmayın.
RDS
RDS yönetimli müşteri veri tabanı bulut sunucularının her biri, bir müşteri için tek veri tabanı altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, RDS'nin temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. RDS'nin desteklediği çoğu veri tabanı altyapısında şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir. Veri tabanı altyapısına özel ek ayrıntılar aşağıda verilmiştir ve aksi bildirilmediği takdirde müşterilerin herhangi bir işlem yapmasına gerek yoktur.
RDS for SQL Server Veri Tabanı Bulut Sunucuları için Microsoft her birini erişilebilir hale getirdiğinde işletim sistemi ve veri tabanı altyapı düzeltme eklerini kullanıma sunacağız ve müşterilerin istedikleri zaman yükseltme yapabilmelerine olanak tanıyacağız. Bunlardan biri tamamlandığında bu bülteni güncelleyeceğiz. Bu sırada (varsayılan olarak devre dışı olan) CLR'yi etkinleştiren müşteriler https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server adresi üzerinden CLR uzantısını devre dışı bırakma hakkındaki Microsoft kılavuzunu incelemelidir.
RDS PostgreSQL ve Aurora PostgreSQL için, hâlihazırda varsayılan yapılandırmada çalışan Veri Tabanı Bulut Sunucularında müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur. plv8 uzantılarını kullanan kullanıcılar için uygun düzeltme eklerini, hazır oldukları zaman sunacağız. Bu süre içerisinde, varsayılan olarak devre dışı halde bulunan plv8 uzantılarını etkinleştirmiş müşteriler bunları devre dışı bırakmayı düşünmeli ve https://github.com/v8/v8/wiki/Untrusted-code-mitigations adresindeki V8'in kılavuzuna göz atmalıdır.
RDS for MariaDB, RDS for MySQL, Aurora MySQL ve RDS for Oracle veri tabanı bulut sunucularında müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur.
VMware Cloud on AWS
VMware için, “VMSA-2018-0002'de belgelenmiş olan iyileştirme, Aralık 2017 tarihinden beri VMware Cloud on AWS içerisinde mevcuttur.”
Daha fazla bilgi için lütfen VMware Güvenlik ve Uygunluk Bloguna ve güncel durum için https://status.vmware-services.io adresine göz atın.
WorkSpaces
AWS, önümüzdeki hafta içerisinde Microsoft tarafından birçok AWS WorkSpaces’e sunulan güvenlik güncellemelerini uygulayacaktır. Müşteriler bu süre içerisinde WorkSpaces'ın yeniden başlamasını beklemelidir.
Kendi Lisansını Getir (BYOL) özelliğini kullanan ve WorkSpaces'lerindeki varsayılan güncelleme ayarlarını değiştirmiş olan müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamaları gerekir.
Lütfen burada Microsoft güvenlik önerisi tarafından sunulan talimatları takip edin: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Güvenlik önerisinde, Windows Server ve İstemci işletim sistemleri için daha fazla özel bilgi sunan bilgi bankası makalelerine bağlantılar bulunur.
Güncellenmiş WorkSpaces paketleri, yakında güvenlik güncellemeleriyle erişilebilir kılınacaktır. Özel Paketler oluşturan müşterilerin, güvenlik güncellemelerini içerecek şekilde paketlerini güncellemesi gerekir. Güncellemelere sahip olmayan paketlerden başlatılan yeni WorkSpaces'lerin tümü başlatıldıktan kısa bir süre sonra düzeltme eki alır. Ancak müşteriler WorkSpaces'lerindeki varsayılan güncelleme ayarlarını değiştirdiyse Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamak için yukarıdaki adımları izlemelidir.
WorkSpaces Application Manager (WAM)
Müşterilerin şu işlemlerden birini seçmelerini tavsiye ederiz:
1. Seçenek: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution adresinde sunulan adımları izleyerek çalışan WAM Paketleyici ve Doğrulayıcı bulut sunucularında Microsoft düzeltme eklerini manuel olarak uygulamak. Bu sayfada Windows Server için daha fazla talimat ve indirmeler bulunur.
2. Seçenek: Gün sonuna kadar (04.01.2018) erişilebilir olacak WAM Paketleyici ve Doğrulayıcı için güncel AMI’lerden yeni WAM Paketleyici ve Doğrulayıcı EC2 bulut sunucuları yeniden oluşturmak.