Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. En güncel sürüm için lütfen şu bölümü inceleyin: "İşlemci Kurgusal Yürütme Araştırma Bilgilerinin Açığa Çıkması".
Konu: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Güncelleme Başlangıcı: 5.01.2018 21:00 PST
Bu güncelleme, bu sorunla ilgilidir.
Amazon EC2
Amazon EC2 filosundaki tüm bulut sunucuları, daha önce listelenen CVE'lerdeki bilinen tüm tehdit vektörlerine karşı korunmaktadır. Müşterilerin bulut sunucuları, diğer bulut sunucularından gelen bu tehditlere karşı korunur. EC2 iş yüklerinin büyük çoğunluğunda anlamlı performans etkileri gözlemlemedik.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce ve Amazon Lightsail İçin Tavsiye Edilen Müşteri Eylemleri
Müşteri bulut sunucularının tümü korunuyor olsa da müşterilerin bulut sunucusu işletim sistemlerine düzeltme eki uygulamalarını öneririz. Bunu yapmak, aynı bulut sunucusunda çalışan yazılımı yalıtmak için bu işletim sistemlerinin sunduğu korumaları güçlendirecektir. Daha fazla bilgi için düzeltme ekinin kullanılabilirliği ve dağıtımı hakkındaki özel satıcı kılavuzuna başvurun.
Özel satıcı kılavuzu:
- Amazon Linux – Aşağıda daha fazla bilgi verilmiştir.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Listelenmeyen işletim sistemleri için müşteriler güncellemeler ve talimatlara yönelik olarak işletim sistemi veya AMI satıcılarına danışmalıdır.
Diğer AWS hizmetlerindeki güncellemeler
Amazon Linux AMI (Bülten Kimliği: ALAS-2018-939)
Amazon Linux için güncellenmiş bir çekirdek, Amazon Linux depolarında mevcuttur. Varsayılan Amazon Linux yapılandırmasıyla 3 Ocak 2018 tarihinde saat 22:45'te (GMT) ya da bu tarihten daha sonra başlatılan EC2 bulut sunucuları güncellenmiş paketi otomatik olarak içerecektir. Hâlihazırda Amazon Linux AMI bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
Bu bülten hakkında daha fazla bilgiye Amazon Linux AMI Güvenlik Merkezi'nden erişilebilir.
EC2 Windows
Varsayılan Windows Server AMI’yi güncelliyoruz ve güncelleme erişilebilir olduğunda bu bülteni güncelleyeceğiz.
ECS İçin Optimize Edilmiş AMI
Bu sorun için tüm Amazon Linux korumalarını barındıran Amazon ECS İçin Optimize Edilmiş AMI 2017.09.e sürümünü yayınladık. Tüm Amazon ECS müşterilerinin, AWS Marketplace'te bulunan bu en son sürüme yükseltme yapmasını tavsiye ediyoruz. Mevcut bulut sunucularını yerinde güncellemeyi seçen müşteriler, her bir container bulut sunucusunda şu komutu çalıştırmalıdır:
sudo yum update kernel
Güncellemenin tamamlanması için container bulut sunucusunun yeniden başlatılması gereklidir
ECS İçin Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncellemeler ve talimatlar için diğer alternatif/üçüncü taraf işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi'nde yer almaktadır.
Microsoft düzeltme ekleri kullanılabilir hale geldikçe güncellenmiş Microsoft Windows EC2 ve ECS İçin Optimize Edilmiş AMI yayınlanacaktır.
Elastic Beanstalk
Bu sorunu 48 saat içinde çözmek için kernel güncellemesini içeren yeni platform sürümlerini yayınlayacağız. Linux ortamları için, bu güncellemeler kullanıma sunulduğunda seçtiğiniz bakım zaman aralığında otomatik olarak güncellemek için "Yönetilen Platform Güncellemeleri" özelliğini etkinleştirmenizi öneririz. Güncelleme kullanıma sunulduğunda Windows ortamları için talimatlar paylaşacağız.
AWS Fargate
Fargate görevlerini çalıştıran altyapıların tümüne yukarıda belirtilen şekilde düzeltme eki uygulanmıştır ve müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Amazon FreeRTOS
Amazon FreeRTOS ve desteklenen ARM işlemcileri için gerekli veya geçerli güncelleme yoktur.
AWS Lambda
Lambda işlevlerini çalıştıran bulut sunucularının tümüne yukarıda belirtilen şekilde düzeltme eki uygulanmıştır ve müşterilerin herhangi bir işlem yapmasına gerek yoktur.
RDS
RDS yönetimli müşteri veritabanı bulut sunucularının her biri, bir müşteri için tek veritabanı altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, RDS'nin temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. RDS'nin desteklediği çoğu veritabanı altyapısında şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir. Veritabanı altyapısına özel ek ayrıntılar aşağıda verilmiştir ve aksi bildirilmediği takdirde müşterilerin herhangi bir işlem yapmasına gerek yoktur. Daha fazla bilgi mevcut olduğunda bu bülteni güncelleyeceğiz.
RDS for MariaDB, RDS for MySQL, Aurora MySQL ve RDS for Oracle veritabanı bulut sunucularında müşterilerin herhangi bir işlem yapmasına gerek yoktur.
RDS PostgreSQL ve Aurora PostgreSQL için, mevcut olarak varsayılan yapılandırmada çalışan Veritabanı Bulut Sunucularında müşterilerin herhangi bir işlem yapmasına gerek yoktur. plv8 uzantılarını kullanan kullanıcılar için uygun düzeltme eklerini, hazır oldukları zaman sunacağız. Bu süre içerisinde, varsayılan olarak devre dışı halde bulunan plv8 uzantılarını etkinleştirmiş müşteriler bunları devre dışı bırakmayı düşünmeli ve https://github.com/v8/v8/wiki/Untrusted-code-mitigations adresindeki V8'in kılavuzuna göz atmalıdır.
RDS for SQL Server Veritabanı Bulut Sunucuları için, Microsoft her birini hazır hale getirdiğinde işletim sistemi ve veritabanı altyapı düzeltme eklerini kullanıma sunacağız ve böylece müşterilerin istedikleri zaman yükseltme yapabilmesini sağlayacağız. Bunlardan biri tamamlandığında bu bülteni güncelleyeceğiz. Bu süre içerisinde, (varsayılan olarak devre dışı bırakılan) CLR’yi etkinleştiren müşteriler şu adresten CLR uzantısını devre dışı bırakma hakkındaki Microsoft kılavuzunu incelemelidir: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
VMware Cloud on AWS
Daha fazla bilgi için lütfen şuradaki VMware güvenlik önerisine başvurun: https://www.vmware.com/security/advisories/VMSA-2018-0002.html.
Çalışma Alanları
AWS, önümüzdeki hafta sonu çoğu AWS WorkSpaces'a Microsoft tarafından sunulan güvenlik güncellemelerini uygulayacaktır. Müşteriler bu süre içerisinde Çalışma Alanlarının yeniden başlamasını beklemelidir.
Kendi Lisansını Getir (KLG) özelliğini kullanan ve Çalışma Alanlarındaki varsayılan güncelleme ayarlarını değiştirmiş olan müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamaları gerekmektedir.
Lütfen şurada Microsoft güvenlik önerisi tarafından sunulan talimatları takip edin: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Güvenlik önerisinde, Windows Server ve İstemci işletim sistemleri için daha fazla özel bilgi sunan bilgi bankası makalelerine bağlantılar bulunur.
Güncellenmiş Çalışma Alanları paketleri, güvenlik güncellemeleriyle yakında kullanıma sunulacaktır. Özel Paketler oluşturan müşterilerin, güvenlik güncellemelerini içerecek şekilde paketlerini güncellemesi gerekir. Güncellemelere sahip olmayan paketlerden başlatılan yeni Çalışma Alanlarının tümü, başlatıldıktan kısa bir süre sonra düzeltme eki alır. Çalışma Alanlarındaki varsayılan güncelleme ayarlarını değiştiren müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamak için yukarıdaki adımları takip etmesi gerekir.
WorkSpaces Application Manager (WAM)
Müşterilerin şu eylemlerden birini seçmesini tavsiye ederiz:
1. Seçenek: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution adresinde Microsoft tarafından sunulan adımları izleyerek çalışan WAM Paketleyici ve Doğrulayıcı bulut sunucularında Microsoft düzeltme eklerini manuel olarak uygulayın. Bu sayfada Windows Server için daha fazla talimat ve indirme bulunur.
2. Seçenek: Gün sonuna kadar (4.01.2018) kullanıma sunulacak olan WAM Paketleyici ve Doğrulayıcı için güncellenmiş AMI’lerden yeni WAM Paketleyici ve Doğrulayıcı EC2 bulut sunucularını yeniden oluşturun.