Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. En son sürüm için lütfen şurayı ziyaret edin: "İşlemci Kurgusal Yürütme Araştırma Bilgilerinin Açığa Çıkması".
Konu: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Güncelleme Başlangıcı: 2018/01/15 20:30 PST
Bu güncelleme, bu sorunla ilgilidir.
Amazon Linux için güncellenmiş bir çekirdek, Amazon Linux depolarında mevcuttur. Varsayılan Amazon Linux yapılandırmasıyla 13 Ocak 2018 tarihinde veya sonrasında başlatılan EC2 bulut sunucularında otomatik olarak, çekirdekteki CVE-2017-5715 kodlu sorunu gidermeye yönelik en son tutarlı açık kaynak Linux güvenlik iyileştirmelerini içeren ve daha önce paket içinde bulunup CVE-2017-5754 kodlu sorunu gideren Kernel Page Table Isolation'a (KPTI) dayanan güncellenmiş paket yer alacaktır. Müşterilerin CVE-2017-5754'teki işlemden işleme endişeleri ve CVE-2017-5715'teki işlemden çekirdeğe endişeleri etkili bir şekilde azaltmak için en son Amazon Linux çekirdeğine veya AMI'ye yükseltmeleri gerekir. “Amazon Linux AMI” hakkında daha fazla bilgi için aşağıya bakın.
Yarı sanallaştırılmış (PV) bulut sunucuları hakkında daha fazla bilgi için lütfen aşağıdaki “PV Bulut Sunucusu Kılavuzu” kısmına bakın.
Amazon EC2
Amazon EC2 filosundaki tüm bulut sunucuları, daha önce listelenen CVE’lere yönelik bulut sunucusundan bulut sunucusuna süreçlerdeki bilinen tüm endişelere karşı korunmaktadır. Bulut sunucusundan bulut sunucusuna süreçlerdeki endişeler, güvenilir olmayan bir komşu bulut sunucusunun başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyabileceği hakkında varsayımda bulunur. Bu sorun, AWS hipervizörleri için çözülmüştür. Hiçbir bulut sunucusu başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyamaz. Daha önce belirtildiği üzere, EC2 iş yüklerinin büyük çoğunluğunda anlamlı performans etkileri gözlemlemedik.
Intel mikro kod güncellemelerinin neden olduğu az sayıda bulut sunucusu ve uygulama çökmeleri belirledik ve doğrudan etkilenen müşterilerle çalışıyoruz. Bu sorunları gördüğümüz AWS'deki platformlar için yeni Intel CPU mikro kodunun bazı bölümlerini devre dışı bırakmayı tamamladık. Bunun bu bulut sunucuları ile ilgili sorunu hafiflettiği görüldü. Amazon EC2 filosundaki tüm bulut sunucuları bilinen tüm tehdit vektörlerinden korunur. Devre dışı bırakılmış Intel mikro kodu, CVE-2017-5715’ten kaynaklanan teorik tehdit vektörlerine karşı ek korumalar sağladı. Intel güncellenmiş mikro kod sağladıktan sonra bu ek korumaları (üzerinde çalıştığımız bazı ek performans optimizasyonlarıyla birlikte) yeniden etkinleştirmeyi umuyoruz.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce ve Amazon Lightsail İçin Tavsiye Edilen Müşteri İşlemleri
Tüm müşterilerin bulut sunucuları yukarıda belirtildiği şekilde korunuyor olsa da, müşterilerin aynı bulut sunucusunu çalıştıran yazılımı yalıtmasını ve CVE-2017-5754’e yönelik işlemden işleme endişelerini azaltmasını tavsiye ederiz. Daha fazla bilgi için düzeltme ekine erişilebilirlik ve dağıtım hakkındaki özel satıcı kılavuzuna başvurun.
Özel satıcı kılavuzu:
- Amazon Linux – Aşağıda daha fazla bilgi verilmiştir.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- Red Hat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SUSE Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Listelenmeyen işletim sistemleri için müşteriler güncellemeler ve talimatlara yönelik olarak işletim sistemi veya AMI satıcılarına danışmalıdır.
PV Bulut Sunucusu Kılavuzu
Bu soruna yönelik yayınlanan işletim sistemi düzeltme ekleri için yapılan sürekli araştırma ve detaylı analizlerin ardından işletim sistemi korumalarının, yarı sanallaştırılmış (PV) bulut sunucuları içerisindeki işlemden işleme süreçlerdeki endişelere yönelik yeterli çözüm sunmadıklarını belirledik. PV bulut sunucuları, yukarıda belirtildiği şekilde AWS hipervizörleri tarafından bulut sunucusundan bulut sunucusuna süreçlerdeki endişelere karşı korunuyor olsa da PV bulut sunucuları içerisinde işlem yalıtımı (ör. güvenilir olmayan veri işleme, güvenilir olmayan kod çalıştırma, güvenilir olmayan kullanıcı barındırma) hakkında endişeleri olan müşterilerin daha uzun ömürlü güvenlik avantajları sunan HVM bulut sunucusu tiplerine geçiş yapmaları önemle tavsiye edilir.
PV ile HVM arasındaki farklar (ve ayrıca bulut sunucusu yükseltme yolu belgeleri) hakkında daha fazla bilgi için lütfen şu adrese göz atın:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Herhangi bir PV bulut sunucusu için yükseltme yolu yardımına ihtiyaç duyuyorsanız lütfen Destek Ekibiyle iletişime geçin.
Diğer AWS hizmetlerindeki güncellemeler
Müşterilerin adına yönetilen EC2 bulut sunucularına düzeltme eki uygulanmasını gerektiren şu hizmetlerde tüm işler tamamlanmıştır ve müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur:
- Fargate
- Lambda
Aşağıda aksi belirtilmediği taktirde, müşterilerin diğer AWS hizmetlerinde bir işlem gerçekleştirmesine gerek yoktur.
Amazon Linux AMI (Bülten Kimliği: ALAS-2018-939)
Amazon Linux için güncellenmiş bir çekirdek, Amazon Linux depolarında mevcuttur. Varsayılan Amazon Linux yapılandırmasıyla 13 Ocak 2018 tarihinde veya sonrasında başlatılan EC2 bulut sunucularında otomatik olarak, çekirdekteki CVE-2017-5715 kodlu sorunu gidermeye yönelik en son tutarlı açık kaynak Linux güvenlik iyileştirmelerini içeren ve daha önce paket içinde bulunup CVE-2017-5754 kodlu sorunu gideren Kernel Page Table Isolation'a (KPTI) dayanan güncellenmiş paket yer alacaktır.
NOT: Müşterilerin CVE-2017-5754'teki işlemden işleme endişeleri ve CVE-2017-5715'teki işlemden çekirdeğe endişeleri etkili bir şekilde azaltmak için en son Amazon Linux çekirdeğine veya AMI'ye yükseltmeleri gerekir.
Hâlihazırda Amazon Linux AMI bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
Bu bülten hakkında daha fazla bilgiye Amazon Linux AMI Güvenlik Merkezi'nden erişilebilir.
Amazon Linux 2 için lütfen yukarıda açıklanan Amazon Linux talimatlarını takip edin.
EC2 Windows
AWS Windows AMI'lerini güncelledik. Bunlar artık müşterilerin kullanımına sunulmuştur. AWS Windows AMI'lerinde gerekli düzeltme eki yüklüdür ve kayıt anahtarları etkindir.
Microsoft, Server 2008R2, 2012R2 ve 2016 için Windows düzeltme ekleri sağlamıştır. Server 2016 için yerleşik Windows Update Hizmeti aracılığıyla düzeltme ekleri mevcuttur. Server 2003, 2008SP2 ve 2012RTM için düzeltme eklerinin kullanıma sunulması konusunda Microsoft'tan bilgi almayı bekliyoruz.
"Otomatik Güncellemelerin" etkin olduğu EC2 üzerinde Windows bulut sunucuları çalıştıran AWS müşterilerinin mevcut olduğunda gerekli güncellemeyi indirip yüklemek için otomatik güncellemeleri çalıştırması gerekmektedir.
Server 2008R2 ve 2012R2'nin şu anda manuel indirme gerektiren Windows Update aracılığıyla kullanılamadığını lütfen unutmayın. Microsoft daha önce bu düzeltme eklerinin 9 Ocak Salı günü kullanıma sunulacağını belirtmişti ancak bunların kullanıma sunulması konusunda hâlâ bilgi almayı bekliyoruz.
"Otomatik Güncellemelerin" etkin olmadığı EC2 üzerinde Windows bulut sunucuları çalıştıran AWS müşterileri, mevcut olduğunda gerekli güncellemeleri şu adreste verilen talimatları takip ederek manuel olarak yüklemelidir: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Microsoft, Windows Server için bu soruna yönelik güncellemelerinin koruyucu özelliklerini etkinleştirmek için şu adreste açıklanan ek adımların uygulanmasını gerektirir: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS İçin Optimize Edilmiş AMI
Yukarıda bahsedilen ikinci Amazon Linux çekirdek güncellemesi dahil olmak üzere bu soruna yönelik tüm Amazon Linux korumalarını kapsayan Amazon ECS İçin Optimize Edilmiş AMI 2017.09.f sürümünü kullanıma sunduk. Tüm Amazon ECS müşterilerinin, AWS Marketplace'te bulunan bu en son sürüme yükseltme yapmalarını tavsiye ediyoruz. Erişilebilir hale geldikçe Amazon Linux iyileştirmelerini eklemeye devam edeceğiz.
Mevcut ECS İçin Optimize Edilmiş AMI bulut sunucularını güncellemeyi seçen müşterilerin, güncellenmiş paketi aldıklarından emin olmaları için şu komutu çalıştırmaları gerekir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
ECS için Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncellemeler ve talimatlar için diğer alternatif / üçüncü taraf işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi'nde yer almaktadır.
Amazon ECS İçin Optimize Edilmiş Windows AMI 2018.01.10 sürümünü yayınladık. Çalışan bulut sunucularına düzeltme eklerini nasıl uygulayacağınız hakkında ayrıntılı bilgi için yukarıdaki “EC2 Windows” bölümüne göz atın.
Elastic Beanstalk
Bu sorunla ilgili olarak tüm Amazon Linux korumalarını dahil etmek için tüm Linux tabanlı platformları güncelledik. Belirli platform sürümleri için sürüm notlarına göz atın. Elastic Beanstalk müşterilerinin, ortamlarını mevcut en son platform sürümüne güncellemelerini öneriyoruz. Yönetilen Güncellemeler kullanan ortamlar, yapılandırılmış bakım süresi içinde otomatik olarak güncellenecektir.
Windows tabanlı platformlar da, bu sorunla ilgili olarak tüm EC2 Windows korumalarını dahil etmek için güncellenmiştir. Müşterilerin Windows tabanlı Elastic Beanstalk ortamlarını en güncel platform yapılandırmasına güncellemeleri önerilir.
ElastiCache
ElastiCache yönetimli müşteri önbellek düğümlerinin her biri, bir müşteri için tek önbellek altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, ElastiCache'in temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. ElastiCache'in desteklediği iki önbellek altyapısında da şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir.
EMR
Amazon EMR, müşterilerin adına müşteri hesabında Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümeleri başlatmaktadır. Amazon EMR kümelerinin bulut sunucuları içerisinde işlem yalıtımı hakkında endişe duyan müşterilerin, yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne yükseltme yapmaları gerekir. Şu anda en son Amazon Linux çekirdeğini 5.11.x branch ve 4.9.x branch üzerinde bulunan yeni bir alt sürüm ile birleştirmekteyiz. Müşteriler, bu sürümlerle yeni Amazon EMR kümeleri oluşturabilecektir. Bu sürümler erişilebilir hale geldikçe bu bülteni güncelleyeceğiz.
Mevcut Amazon EMR sürümleri ve müşterilerin sahip olabileceği diğer çalışan ilişkili bulut sunucuları için yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne güncelleme yapılmasını tavsiye ediyoruz. Yeni kümelerde, Linux çekirdek güncellemesi ve her bir bulut sunucusunu yeniden başlatma için müşteriler bir önyükleme işlemi kullanabilir. Çalışan kümelerde, müşteriler Linux çekirdek güncellemesine olanak sağlayabilir ve değişimli bir şekilde kümelerindeki her bulut sunucusu için yeniden başlatma gerçekleştirebilir. Belirli işlemlerin yeniden başlatılmasının küme içindeki çalışan uygulamaları etkileyebileceğini lütfen unutmayın.
RDS
RDS yönetimli müşteri veri tabanı bulut sunucularının her biri, bir müşteri için tek veri tabanı altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, RDS'nin temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. RDS'nin desteklediği çoğu veri tabanı altyapısında şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir. Veri tabanı altyapısına özel ek ayrıntılar aşağıda verilmiştir ve aksi bildirilmediği takdirde müşterilerin herhangi bir işlem yapmasına gerek yoktur.
RDS for SQL Server Veri Tabanı Bulut Sunucuları için Microsoft her birini erişilebilir hale getirdiğinde işletim sistemi ve veri tabanı altyapı düzeltme eklerini kullanıma sunacağız ve müşterilerin istedikleri zaman yükseltme yapabilmelerine olanak tanıyacağız. Bunlardan biri tamamlandığında bu bülteni güncelleyeceğiz. Bu sırada (varsayılan olarak devre dışı olan) CLR'yi etkinleştiren müşteriler https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server adresi üzerinden CLR uzantısını devre dışı bırakma hakkındaki Microsoft kılavuzunu incelemelidir.
RDS PostgreSQL ve Aurora PostgreSQL için, hâlihazırda varsayılan yapılandırmada çalışan Veri Tabanı Bulut Sunucularında müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur. plv8 uzantılarını kullanan kullanıcılar için uygun düzeltme eklerini, hazır oldukları zaman sunacağız. Bu süre içerisinde, varsayılan olarak devre dışı halde bulunan plv8 uzantılarını etkinleştirmiş müşteriler bunları devre dışı bırakmayı düşünmeli ve https://github.com/v8/v8/wiki/Untrusted-code-mitigations adresindeki V8'in kılavuzuna göz atmalıdır.
RDS for MariaDB, RDS for MySQL, Aurora MySQL ve RDS for Oracle veri tabanı bulut sunucularında müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur.
VMware Cloud on AWS
VMware için, “VMSA-2018-0002'de belgelenmiş olan iyileştirme, Aralık 2017 tarihinden beri VMware Cloud on AWS içerisinde mevcuttur.”
Daha fazla bilgi için lütfen VMware Güvenlik ve Uygunluk Bloguna ve güncel durum için https://status.vmware-services.io adresine göz atın.
WorkSpaces
Windows Server 2008 R2 üzerinde Windows 7 deneyimi yaşayan müşteriler için:
Microsoft bu soruna yönelik olarak Windows Server 2008 R2 için bir güncelleme yayınlamıştır. Bu güncellemelerin başarılı bir şekilde teslim edilmesi için Microsoft'un güvenlik güncellemesinde belirtildiği gibi uyumlu Virüs Önleme yazılımlarının sunucuda yüklü olması gerekir: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. WorkSpaces kullanan müşterilerin bu güncellemeleri edinmek için işlem gerçekleştirmesi gerekir. Lütfen şu adresteki Microsoft'un talimatlarını izleyin: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Windows Server 2016 üzerinde Windows 10 deneyimi yaşayan müşteriler için:
AWS, Windows Server 2016 üzerinde Windows 10 deneyimi çalıştıran WorkSpaces için güvenlik güncellemeleri yayınladı. Windows 10'da bu güvenlik güncellemeleriyle uyumlu olan yerleşik Windows Defender Virüs Önleme yazılımı bulunmaktadır. Müşterilerin başka herhangi bir işlem yapmasına gerek yoktur.
KLG ve değiştirilmiş varsayılan güncelleme ayarlarına sahip müşteriler için:
WorkSpaces Kendi Lisansını Getir (KLG) özelliğini kullanan müşterilerin ve WorkSpaces’lerindeki varsayılan güncelleme ayarlarını değiştirmiş olan müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamaları gerektiğini lütfen unutmayın. Bu durum sizin için geçerliyse lütfen şu adresteki Microsoft güvenlik önerisi tarafından sunulan talimatları izleyin: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Güvenlik önerisinde, Windows Server ve İstemci işletim sistemleri için daha fazla özel bilgi sunan bilgi bankası makalelerine bağlantılar bulunur.
Güncellenmiş WorkSpaces paketleri, yakında güvenlik güncellemeleriyle erişilebilir kılınacaktır. Özel Paketler oluşturan müşterilerin, güvenlik güncellemelerini içerecek şekilde paketlerini güncellemesi gerekir. Güncellemelere sahip olmayan paketlerden başlatılan her yeni WorkSpaces, başlatıldıktan hemen sonra düzeltme eklerini alır. Ancak müşteriler, WorkSpaces’lerindeki varsayılan güncelleme ayarlarını değiştirdiyse veya uyumlu olmayan bir virüsten koruma yazılımı yüklediyse Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamak için yukarıdaki adımları izlemelidir.
WorkSpaces Application Manager (WAM)
Müşterilerin şu işlemlerden birini seçmelerini tavsiye ederiz:
1. Seçenek: Microsoft tarafından https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution adresinde sunulan adımları izleyerek çalışan WAM Paketleyici ve Doğrulayıcı bulut sunucularında Microsoft güncellemelerini manuel olarak uygulama. Bu sayfada daha fazla talimat ve ilgili indirmeler bulunur.
2. Seçenek: mevcut Paketleyici ve Doğrulayıcı bulut sunucularınızı sonlandırma. "Amazon WAM Admin Studio 1.5.1" ve "Amazon WAM Admin Player 1.5.1" olarak etiketlendirilen güncellenmiş AMI'lerimizi kullanarak yeni bulut sunucuları başlatın.