Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. En son sürüm için lütfen şurayı ziyaret edin: "İşlemci Kurgusal Yürütme Araştırma Bilgilerinin Açığa Çıkması".
Konu: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Güncelleme Başlangıcı: 2018/01/22 11:45 AM PST
Bu güncelleme, bu sorunla ilgilidir.
Amazon Linux için güncellenmiş bir çekirdek, Amazon Linux depolarında mevcuttur. Varsayılan Amazon Linux yapılandırmasıyla 13 Ocak 2018 tarihinde veya sonrasında başlatılan EC2 bulut sunucularında otomatik olarak, çekirdekteki CVE-2017-5715 kodlu sorunu gidermeye yönelik en son tutarlı açık kaynak Linux güvenlik iyileştirmelerini içeren ve daha önce paket içinde bulunup CVE-2017-5754 kodlu sorunu gideren Kernel Page Table Isolation'a (KPTI) dayanan güncellenmiş paket yer alacaktır. Müşterilerin, bulut sunucularında CVE-2017-5715'e yönelik işlemden işleme süreçlerdeki endişeleri ve CVE-2017-5754'e yönelik işlemden çekirdeğe süreçlerdeki endişeleri etkili bir şekilde azaltmak için en son Amazon Linux çekirdek veya AMI sürümüne yükseltme yapması gerekmektedir. Daha fazla bilgi için "İşlemci Kurgusal Yürütme - İşletim Sistemi Güncellemeleri" bölümüne göz atın.
Yarı sanallaştırılmış (PV) bulut sunucuları hakkında daha fazla bilgi için lütfen aşağıdan "PV Bulut Sunucusu Kılavuzu" bölümüne göz atın.
Amazon EC2
Amazon EC2 filosundaki tüm bulut sunucuları, CVE-2017-5715, CVE-2017-5753 ve CVE-2017-5754’e yönelik bulut sunucusundan bulut sunucusuna süreçlerdeki bilinen tüm endişelere karşı korunmaktadır. Bulut sunucusundan bulut sunucusuna süreçlerdeki endişeler, güvenilir olmayan bir komşu bulut sunucusunun başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyabileceği hakkında varsayımda bulunur. Bu sorun, AWS hipervizörleri için çözülmüştür. Hiçbir bulut sunucusu başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyamaz. Daha önce belirtildiği üzere, EC2 iş yüklerinin büyük çoğunluğunda anlamlı performans etkileri gözlemlemedik.
Intel mikro kod güncellemelerinin neden olduğu az sayıda bulut sunucusu ve uygulama çökmeleri belirledik ve doğrudan etkilenen müşterilerle çalışıyoruz. Bu sorunları gördüğümüz AWS'deki platformlar için yeni Intel CPU mikro kodunun bazı bölümlerini devre dışı bırakmayı tamamladık. Bunun bu bulut sunucuları ile ilgili sorunu hafiflettiği görüldü. Amazon EC2 filosundaki tüm bulut sunucuları bilinen tüm tehdit vektörlerinden korunur. Devre dışı bırakılmış Intel mikro kodu, CVE-2017-5715’ten kaynaklanan teorik tehdit vektörlerine karşı ek korumalar sağladı. Intel güncellenmiş mikro kod sağladıktan sonra bu ek korumaları (üzerinde çalıştığımız bazı ek performans optimizasyonlarıyla birlikte) yeniden etkinleştirmeyi umuyoruz.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce ve Amazon Lightsail İçin Tavsiye Edilen Müşteri İşlemleri
Tüm müşterilerin bulut sunucuları yukarıda belirtildiği şekilde korunuyor olsa da müşterilerin işlemden işleme veya işlemden çekirdeğe süreçlerdeki endişeleri gidermek için bulut sunucusu işletim sistemlerine düzeltme eki uygulamalarını tavsiye ederiz. Amazon Linux ve Amazon Linux 2, CentOS, Debian, Fedora, Microsoft Windows, Red Hat, SUSE ve Ubuntu için daha fazla bilgi ve yönerge için lütfen "İşlemci Kurgusal Yürütme - İşletim Sistemi Güncellemeleri" bölümüne göz atın.
PV Bulut Sunucusu Kılavuzu
Bu soruna yönelik yayınlanan işletim sistemi düzeltme ekleri için yapılan sürekli araştırma ve detaylı analizlerin ardından işletim sistemi korumalarının, yarı sanallaştırılmış (PV) bulut sunucuları içerisindeki işlemden işleme süreçlerdeki endişelere yönelik yeterli çözüm sunmadıklarını belirledik. PV bulut sunucuları, yukarıda belirtildiği şekilde AWS hipervizörleri tarafından bulut sunucusundan bulut sunucusuna süreçlerdeki endişelere karşı korunuyor olsa da PV bulut sunucuları içerisinde işlem yalıtımı (ör. güvenilir olmayan veri işleme, güvenilir olmayan kod çalıştırma, güvenilir olmayan kullanıcı barındırma) hakkında endişeleri olan müşterilerin daha uzun ömürlü güvenlik avantajları sunan HVM bulut sunucusu tiplerine geçiş yapmaları önemle tavsiye edilir.
PV ile HVM arasındaki farklar (ve ayrıca bulut sunucusu yükseltme yolu belgeleri) hakkında daha fazla bilgi için lütfen şu adrese göz atın:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Herhangi bir PV bulut sunucusu için yükseltme yolu yardımına ihtiyaç duyuyorsanız lütfen Destek Ekibiyle iletişime geçin.
Diğer AWS hizmetlerindeki güncellemeler
Müşterilerin adına yönetilen EC2 bulut sunucularına düzeltme eki uygulanmasını gerektiren şu hizmetlerde tüm işler tamamlanmıştır ve müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur:
- Fargate
- Lambda
Aşağıda aksi belirtilmediği taktirde, müşterilerin diğer AWS hizmetlerinde bir işlem gerçekleştirmesine gerek yoktur.
ECS İçin Optimize Edilmiş AMI
Bu sorun için tüm Amazon Linux korumalarını barındıran Amazon ECS İçin Optimize Edilmiş AMI 2017.09.g sürümünü yayınladık. Tüm Amazon ECS müşterilerinin, AWS Marketplace'te bulunan bu en son sürüme yükseltme yapmalarını tavsiye ediyoruz.
Mevcut ECS İçin Optimize Edilmiş AMI bulut sunucularını güncellemeyi seçen müşterilerin, güncellenmiş paketi aldıklarından emin olmaları için şu komutu çalıştırmaları gerekir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
ECS için Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncellemeler ve talimatlar için diğer alternatif / üçüncü taraf işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlarAmazon Linux AMI Güvenlik Merkezi'nde yer almaktadır.
Amazon ECS İçin Optimize Edilmiş Windows AMI 2018.01.10 sürümünü yayınladık. Çalışan bulut sunucularına düzeltme eklerini nasıl uygulayacağınız hakkında ayrıntılı bilgi için "İşlemci Kurgusal Yürütme - İşletim Sistemi Güncellemeleri" bölümüne göz atın.
Elastic Beanstalk
Bu sorunla ilgili olarak tüm Amazon Linux korumalarını dahil etmek için tüm Linux tabanlı platformları güncelledik. Belirli platform sürümleri için sürüm notlarına göz atın. Elastic Beanstalk müşterilerinin, ortamlarını mevcut en son platform sürümüne güncellemelerini öneriyoruz. Yönetilen Güncellemeler kullanan ortamlar, yapılandırılmış bakım süresi içinde otomatik olarak güncellenecektir.
Windows tabanlı platformlar da, bu sorunla ilgili olarak tüm EC2 Windows korumalarını dahil etmek için güncellenmiştir. Müşterilerin Windows tabanlı Elastic Beanstalk ortamlarını en güncel platform yapılandırmasına güncellemeleri önerilir.
ElastiCache
ElastiCache yönetimli müşteri önbellek düğümlerinin her biri, bir müşteri için tek önbellek altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, ElastiCache'in temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. ElastiCache'in desteklediği iki önbellek altyapısında da şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir.
EMR
Amazon EMR, müşterilerin adına müşteri hesabında Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümeleri başlatmaktadır. Amazon EMR kümelerinin bulut sunucuları içerisinde işlem yalıtımı hakkında endişe duyan müşterilerin, yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne yükseltme yapmaları gerekir. Şu anda en son Amazon Linux çekirdeğini 5.11.x branch ve 4.9.x branch üzerinde bulunan yeni bir alt sürüm ile birleştirmekteyiz. Müşteriler, bu sürümlerle yeni Amazon EMR kümeleri oluşturabilecektir. Bu sürümler erişilebilir hale geldikçe bu bülteni güncelleyeceğiz.
Mevcut Amazon EMR sürümleri ve müşterilerin sahip olabileceği diğer çalışan ilişkili bulut sunucuları için yukarıda tavsiye edildiği şekilde en son Amazon Linux çekirdek sürümüne güncelleme yapılmasını tavsiye ediyoruz. Yeni kümelerde, Linux çekirdek güncellemesi ve her bir bulut sunucusunu yeniden başlatma için müşteriler bir önyükleme işlemi kullanabilir. Çalışan kümelerde, müşteriler Linux çekirdek güncellemesine olanak sağlayabilir ve değişimli bir şekilde kümelerindeki her bulut sunucusu için yeniden başlatma gerçekleştirebilir. Belirli işlemlerin yeniden başlatılmasının küme içindeki çalışan uygulamaları etkileyebileceğini lütfen unutmayın.
RDS
RDS yönetimli müşteri veri tabanı bulut sunucularının her biri, bir müşteri için tek veri tabanı altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, RDS'nin temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. RDS'nin desteklediği çoğu veri tabanı altyapısında şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir. Veri tabanı altyapısına özel ek ayrıntılar aşağıda verilmiştir ve aksi bildirilmediği takdirde müşterilerin herhangi bir işlem yapmasına gerek yoktur.
RDS for SQL Server Veri Tabanı Bulut Sunucuları için Microsoft her birini erişilebilir hale getirdiğinde işletim sistemi ve veri tabanı altyapı düzeltme eklerini kullanıma sunacağız ve müşterilerin istedikleri zaman yükseltme yapabilmelerine olanak tanıyacağız. Bunlardan biri tamamlandığında bu bülteni güncelleyeceğiz. Bu sırada (varsayılan olarak devre dışı olan) CLR'yi etkinleştiren müşteriler https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server adresi üzerinden CLR uzantısını devre dışı bırakma hakkındaki Microsoft kılavuzunu incelemelidir.
RDS PostgreSQL ve Aurora PostgreSQL için, hâlihazırda varsayılan yapılandırmada çalışan Veri Tabanı Bulut Sunucularında müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur. plv8 uzantılarını kullanan kullanıcılar için uygun düzeltme eklerini, hazır oldukları zaman sunacağız. Bu süre içerisinde varsayılan olarak devre dışı halde bulunan plv8 uzantılarını etkinleştirmiş müşteriler bunları devre dışı bırakmayı düşünmeli ve https://github.com/v8/v8/wiki/Untrusted-code-mitigations adresindeki V8'in kılavuzuna göz atmalıdır.
RDS for MariaDB, RDS for MySQL, Aurora MySQL ve RDS for Oracle veri tabanı bulut sunucularında müşterilerin herhangi bir işlem gerçekleştirmesine gerek yoktur.
VMware Cloud on AWS
Her bir VMware için "VMSA-2018-0002'de belgelenmiş olan iyileştirme Aralık 2017 tarihinden beri VMware Cloud on AWS içerisinde mevcuttur."
Daha fazla bilgi için lütfen VMware Güvenlik ve Uygunluk Bloguna ve güncel durum için https://status.vmware-services.io adresine göz atın.
WorkSpaces
Windows Server 2008 R2 üzerinde Windows 7 deneyimi yaşayan müşteriler için:
Microsoft bu soruna yönelik olarak Windows Server 2008 R2 için bir güncelleme yayınlamıştır. Bu güncellemelerin başarılı bir şekilde teslim edilmesi için Microsoft'un güvenlik güncellemesinde belirtildiği gibi uyumlu Virüs Önleme yazılımlarının sunucuda yüklü olması gerekir: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software. WorkSpaces kullanan müşterilerin bu güncellemeleri edinmek için işlem gerçekleştirmesi gerekir. Lütfen Microsoft'un şu adresteki talimatlarını izleyin: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Windows Server 2016 üzerinde Windows 10 deneyimi yaşayan müşteriler için:
AWS, Windows Server 2016 üzerinde Windows 10 deneyimi çalıştıran WorkSpaces için güvenlik güncellemeleri yayınladı. Windows 10'da bu güvenlik güncellemeleriyle uyumlu olan yerleşik Windows Defender Virüs Önleme yazılımı bulunmaktadır. Müşterilerin başka herhangi bir işlem yapmasına gerek yoktur.
KLG ve değiştirilmiş varsayılan güncelleme ayarlarına sahip müşteriler için:
WorkSpaces Kendi Lisansını Getir (KLG) özelliğini kullanan müşterilerin ve WorkSpaces’lerindeki varsayılan güncelleme ayarlarını değiştirmiş olan müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamaları gerektiğini lütfen unutmayın. Bu durum sizin için geçerliyse lütfen https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 adresindeki Microsoft güvenlik önerisi tarafından sunulan talimatları izleyin. Güvenlik önerisinde, Windows Server ve İstemci işletim sistemleri için daha fazla özel bilgi sunan bilgi bankası makalelerine bağlantılar bulunur.
Güncellenmiş WorkSpaces paketleri, yakında güvenlik güncellemeleriyle erişilebilir kılınacaktır. Özel Paketler oluşturan müşterilerin, güvenlik güncellemelerini içerecek şekilde paketlerini güncellemesi gerekir. Güncellemelere sahip olmayan paketlerden başlatılan her yeni WorkSpaces, başlatıldıktan hemen sonra düzeltme eklerini alır. Ancak müşteriler, WorkSpaces’lerindeki varsayılan güncelleme ayarlarını değiştirdiyse veya uyumlu olmayan bir virüsten koruma yazılımı yüklediyse Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamak için yukarıdaki adımları izlemelidir.
WorkSpaces Application Manager (WAM)
Müşterilerin şu işlemlerden birini seçmelerini tavsiye ederiz:
1. Seçenek: Microsoft tarafından https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution adresinde sunulan adımları izleyerek çalışan WAM Paketleyici ve Doğrulayıcı bulut sunucularında Microsoft güncellemelerini manuel olarak uygulama. Bu sayfada daha fazla talimat ve ilgili indirmeler bulunur.
2. Seçenek: mevcut Paketleyici ve Doğrulayıcı bulut sunucularınızı sonlandırma. "Amazon WAM Admin Studio 1.5.1" ve "Amazon WAM Admin Player 1.5.1" olarak etiketlendirilen güncellenmiş AMI'lerimizi kullanarak yeni bulut sunucuları başlatın.