Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. En güncel sürüm için lütfen şu bölümü inceleyin: "İşlemci Kurgusal Yürütme Araştırma Bilgilerinin Açığa Çıkması".
Konu: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Güncelleme Başlangıcı: 11.01.2018 11:30 PST
Bu güncelleme, bu sorunla ilgilidir.
KPTI hatalarını gideren ve CVE-2017-5754'e yönelik risk azaltmayı iyileştiren ikinci bir çekirdek sürümü, Amazon Linux için kullanıma sunuldu. Müşterilerin, bulut sunucularında CVE-2017-5754'e yönelik işlemden işleme süreçlerdeki endişeleri etkili bir şekilde azaltmak için en son Amazon Linux çekirdek veya AMI sürümüne yükseltme yapmaları gerekir. "Amazon Linux AMI" hakkında daha fazla bilgi için aşağıya göz atın.
Yarı sanallaştırılmış (PV) bulut sunucuları hakkında daha fazla bilgi için lütfen aşağıdaki "PV Bulut Sunucusu Kılavuzu" bölümüne göz atın.
Amazon EC2
Amazon EC2 filosundaki tüm bulut sunucuları, daha önce listelenen CVE’lere yönelik bulut sunucusundan bulut sunucusuna süreçlerdeki bilinen tüm endişelere karşı korunmaktadır. Bulut sunucusundan bulut sunucusuna süreçlerdeki endişeler, güvenilir olmayan bir komşu bulut sunucusunun başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyabileceği hakkında varsayımda bulunur. Bu sorun, AWS hipervizörleri için çözülmüştür. Hiçbir bulut sunucusu başka bir bulut sunucusunun veya AWS hipervizörünün belleğini okuyamaz. EC2 iş yüklerinin büyük çoğunluğunda anlamlı performans etkileri gözlemlemedik.
AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce ve Amazon Lightsail İçin Önerilen Müşteri Eylemleri
Müşterilerin tüm bulut sunucuları yukarıda açıklandığı şekilde korunuyor olsa da müşterilerin aynı bulut sunucusunda çalışan yazılımları yalıtmak ve CVE-2017-5754'e yönelik işlemden işleme süreçlerdeki endişeleri azaltmak için bulut sunucusu işletim sistemlerine düzeltme eki uygulamalarını öneririz. Daha fazla bilgi için düzeltme ekinin kullanılabilirliği ve dağıtımı hakkındaki özel satıcı kılavuzuna başvurun.
Özel satıcı kılavuzu:
- Amazon Linux – Aşağıda daha fazla bilgi verilmiştir.
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Listelenmeyen işletim sistemleri için müşteriler güncellemeler ve talimatlara yönelik olarak işletim sistemi veya AMI satıcılarına danışmalıdır.
PV Bulut Sunucusu Kılavuzu
Bu soruna yönelik kullanıma sunulan işletim sistemi düzeltme ekleri için yapılan sürekli araştırma ve detaylı analizlerin ardından işletim sistemi korumalarının, yarı sanallaştırılmış (PV) bulut sunucularında işlemden işleme süreçlerdeki endişeleri gidermeye yönelik yeterli çözüm sunmadıklarını belirledik. PV bulut sunucuları, yukarıda belirtildiği şekilde AWS hipervizörleri tarafından bulut sunucusundan bulut sunucusuna süreçlerdeki endişelere karşı korunuyor olsa da PV bulut sunucuları içerisinde işlem yalıtımı (ör. güvenilir olmayan veri işleme, güvenilir olmayan kod çalıştırma, güvenilir olmayan kullanıcı barındırma) hakkında endişeleri olan müşterilerin daha uzun ömürlü güvenlik avantajları sunan HVM bulut sunucusu tiplerine geçiş yapmaları önemle tavsiye edilir.
PV ile HVM arasındaki farklar (ve ayrıca bulut sunucusu yükseltme yolu belgeleri) hakkında daha fazla bilgi için lütfen şuraya göz atın:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
Herhangi bir PV bulut sunucusu için yükseltme yolu yardımına ihtiyaç duyuyorsanız lütfen Destek Ekibiyle iletişime geçin.
Diğer AWS hizmetlerindeki güncellemeler
Müşterilerin adına yönetilen EC2 bulut sunucularına düzeltme eki uygulanmasını gerektiren şu hizmetlerde tüm işler tamamlanmıştır ve müşterilerin herhangi bir işlem yapmasına gerek yoktur:
- Fargate
- Lambda
Aşağıda aksi belirtilmediği taktirde, müşterilerin diğer AWS hizmetlerinde bir işlem yapmasına gerek yoktur.
Amazon Linux AMI (Bülten Kimliği: ALAS-2018-939)
Amazon Linux için güncellenmiş bir çekirdek, Amazon Linux depolarında mevcuttur. 8 Ocak 2018 tarihinde veya bu tarihten sonra varsayılan Amazon Linux yapılandırmasıyla başlatılan EC2 bulut sunucuları, KPTI hatalarını gideren ve CVE-2017-5754'e yönelik risk azaltmayı iyileştiren güncellenmiş paketi otomatik olarak içerecektir.
NOT: Müşterilerin, bulut sunucularında CVE-2017-5754'e yönelik endişeleri etkili bir şekilde azaltmak için en son Amazon Linux çekirdek veya AMI sürümüne yükseltme yapmaları gerekir. Kullanılabilir oldukça bu sorunu gideren açık kaynaklı Linux topluluğunun katkılarını dahil ederek Amazon Linux iyileştirmelerini ve güncellenmiş Amazon Linux AMI'lerini sağlamaya devam edeceğiz.
Hâlihazırda Amazon Linux AMI bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
Bu bülten hakkında daha fazla bilgiye Amazon Linux AMI Güvenlik Merkezi'nden erişilebilir.
Amazon Linux 2 için lütfen yukarıda açıklanan Amazon Linux talimatlarını takip edin.
EC2 Windows
AWS Windows AMI'lerini güncelledik. Bunlar artık müşterilerin kullanımına sunulmuştur. AWS Windows AMI'lerinde gerekli düzeltme eki yüklüdür ve kayıt anahtarları etkindir.
Microsoft; Server 2008R2, 2012R2 ve 2016 için Windows düzeltme ekleri sağlamıştır. Server 2016 için yerleşik Windows Update Hizmeti aracılığıyla düzeltme eklerine erişilebilir. Server 2003, 2008SP2 ve 2012RTM için düzeltme eklerinin kullanıma sunulması konusunda Microsoft'tan bilgi almayı bekliyoruz.
EC2 üzerinde "Otomatik Güncellemelerin" etkin olduğu Windows bulut sunucuları çalıştıran AWS müşterilerinin, mevcut olduğunda gerekli güncellemeyi indirip yüklemek için otomatik güncellemeleri çalıştırması gerekmektedir.
Server 2008R2 ve 2012R2 düzeltme eklerinin şu anda Windows Update aracılığıyla kullanılamadığını ve manuel indirme gerektirdiğini lütfen unutmayın. Microsoft daha önce bu düzeltme eklerinin 9 Ocak Salı günü kullanıma sunulacağını belirtmişti ancak bunların kullanıma sunulması konusunda hâlâ bilgi almayı bekliyoruz.
EC2 üzerinde "Otomatik Güncellemelerin" etkin olmadığı Windows bulut sunucuları çalıştıran AWS müşterileri, mevcut olduğunda gerekli güncellemeyi şurada verilen talimatları takip ederek manuel olarak yüklemelidir: http://windows.microsoft.com/en-us/windows7/install-windows-updates.
Bu soruna yönelik güncellemenin koruyucu özelliklerini etkinleştirmek amacıyla Microsoft'un, Windows Server için şurada açıklanan ek adımların uygulanmasını gerektirdiğini lütfen unutmayın: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
ECS İçin Optimize Edilmiş AMI
Yukarıda bahsedilen ikinci Amazon Linux çekirdek güncellemesi dahil olmak üzere bu soruna yönelik tüm Amazon Linux korumalarını kapsayan Amazon ECS İçin Optimize Edilmiş AMI 2017.09.f sürümünü yayınladık. Tüm Amazon ECS müşterilerinin, AWS Marketplace'te bulunan bu en son sürüme yükseltme yapmasını tavsiye ediyoruz. Kullanılabilir oldukça Amazon Linux iyileştirmelerini eklemeye devam edeceğiz.
Mevcut ECS İçin Optimize Edilmiş AMI bulut sunucularını yerinde güncellemeyi seçen müşterilerin, güncellenmiş paketi aldıklarından emin olmak için şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
ECS İçin Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncellemeler ve talimatlar için diğer alternatif/üçüncü taraf işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi'nde yer almaktadır.
Amazon ECS İçin Optimize Edilmiş Windows AMI'yi güncelliyoruz ve güncelleme erişilebilir olduğunda bu bülteni güncelleyeceğiz. Microsoft, Server 2016 için Windows düzeltme ekleri sağlamıştır. Düzeltme eklerini çalışan bulut sunucularına nasıl uygulayacağınız hakkında bilgi için bkz.: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution.
Elastic Beanstalk
Bu soruna yönelik tüm Amazon Linux korumalarını içerecek şekilde Linux tabanlı tüm platformları güncelledik. Belirli platform sürümleri için sürüm notlarına göz atın. Elastic Beanstalk müşterilerinin, ortamlarını mevcut en son platform sürümüne güncellemelerini öneririz. Yönetilen Güncellemeler kullanan ortamlar, yapılandırılmış bakım zaman aralığında otomatik olarak güncellenecektir.
Elastic Beanstalk ekibi, önümüzdeki 12 saat içinde kullanıma sunulacak Windows platform güncellemeleri üzerinde çalışmaya devam etmektedir. Windows tabanlı platformları kullanan Elastic Beanstalk müşterilerinin, bu bültenin üst kısmında bulunan "EC2 Windows" bölümündeki talimatları kullanarak mevcut güvenlik güncellemelerini manuel olarak yüklemeleri önerilir.
EMR
Amazon EMR, müşterilerin adına müşteri hesabında Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümeleri başlatır. Amazon EMR kümelerinin bulut sunucuları içerisinde işlem yalıtımı hakkında endişe duyan müşterilerin, yukarıda önerildiği şekilde en son Amazon Linux çekirdek sürümüne yükseltme yapmaları gerekir. Şu anda en son Amazon Linux çekirdeğini 5.11.x ve 4.9.x dalları üzerinde yeni bir alt sürüme ekleme sürecindeyiz. Müşteriler, bu sürümlerle yeni Amazon EMR kümeleri oluşturabilecektir. Bu sürümler kullanılabilir oldukça bu bülteni güncelleyeceğiz.
Mevcut Amazon EMR sürümleri ve müşterilerin sahip olabileceği diğer çalışan ilişkili bulut sunucuları için yukarıda önerildiği şekilde en son Amazon Linux çekirdek sürümüne güncelleme yapılmasını öneririz. Yeni kümelerde, Linux çekirdek güncellemesi ve her bir bulut sunucusunu yeniden başlatma için müşteriler bir önyükleme eylemi kullanabilir. Çalışan kümelerde, müşteriler Linux çekirdek güncellemesine olanak sağlayabilir ve değişimli bir şekilde kümelerindeki her bulut sunucusu için yeniden başlatma gerçekleştirebilir. Belirli işlemlerin yeniden başlatılmasının küme içindeki çalışan uygulamaları etkileyebileceğini lütfen unutmayın.
RDS
RDS yönetimli müşteri veritabanı bulut sunucularının her biri, bir müşteri için tek veritabanı altyapısı çalıştırmaya tahsis edilmiştir. Müşterinin erişebileceği başka işlemler bulunmamaktadır ve müşterilerin temel bulut sunucusunda kod çalıştırma olanağı yoktur. AWS, RDS'nin temelindeki tüm altyapıyı korumayı tamamladığı için bu sorunla ilgili işlemden çekirdeğe veya işlemden işleme süreçlerdeki endişeler müşteriler için bir risk oluşturmamaktadır. RDS'nin desteklediği çoğu veritabanı altyapısında şu anda işlem içine yönelik endişelerin bulunmadığı bildirilmiştir. Veritabanı altyapısına özel ek ayrıntılar aşağıda verilmiştir ve aksi bildirilmediği takdirde müşterilerin herhangi bir işlem yapmasına gerek yoktur. Daha fazla bilgi mevcut olduğunda bu bülteni güncelleyeceğiz.
RDS for SQL Server Veritabanı Bulut Sunucuları için, Microsoft her birini hazır hale getirdiğinde işletim sistemi ve veritabanı altyapı düzeltme eklerini kullanıma sunacağız ve böylece müşterilerin istedikleri zaman yükseltme yapabilmesini sağlayacağız. Bunlardan biri tamamlandığında bu bülteni güncelleyeceğiz. Bu süre içerisinde, (varsayılan olarak devre dışı bırakılan) CLR’yi etkinleştiren müşteriler şu adresten CLR uzantısını devre dışı bırakma hakkındaki Microsoft kılavuzunu incelemelidir: https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server.
RDS PostgreSQL ve Aurora PostgreSQL için, mevcut olarak varsayılan yapılandırmada çalışan Veritabanı Bulut Sunucularında müşterilerin herhangi bir işlem yapmasına gerek yoktur. plv8 uzantılarını kullanan kullanıcılar için uygun düzeltme eklerini, hazır oldukları zaman sunacağız. Bu süre içerisinde, varsayılan olarak devre dışı halde bulunan plv8 uzantılarını etkinleştirmiş müşteriler bunları devre dışı bırakmayı düşünmeli ve https://github.com/v8/v8/wiki/Untrusted-code-mitigations adresindeki V8'in kılavuzuna göz atmalıdır.
RDS for MariaDB, RDS for MySQL, Aurora MySQL ve RDS for Oracle veritabanı bulut sunucularında müşterilerin herhangi bir işlem yapmasına gerek yoktur.
VMware Cloud on AWS
VMware için, "VMSA-2018-0002'de belgelenmiş olan iyileştirme, Aralık 2017 tarihinden beri VMware Cloud on AWS içerisinde mevcuttur."
Daha fazla bilgi için lütfen VMware Güvenlik ve Uygunluk Blogu'na ve güncel durum için https://status.vmware-services.io adresine göz atın.
Çalışma Alanları
AWS, önümüzdeki hafta sonu çoğu AWS WorkSpaces'a Microsoft tarafından sunulan güvenlik güncellemelerini uygulayacaktır. Müşteriler bu süre içerisinde Çalışma Alanlarının yeniden başlamasını beklemelidir.
Kendi Lisansını Getir (KLG) özelliğini kullanan ve Çalışma Alanlarındaki varsayılan güncelleme ayarlarını değiştirmiş olan müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamaları gerekmektedir.
Lütfen şurada Microsoft güvenlik önerisi tarafından sunulan talimatları takip edin: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002. Güvenlik önerisinde, Windows Server ve İstemci işletim sistemleri için daha fazla özel bilgi sunan bilgi bankası makalelerine bağlantılar bulunur.
Güncellenmiş Çalışma Alanları paketleri, güvenlik güncellemeleriyle yakında kullanıma sunulacaktır. Özel Paketler oluşturan müşterilerin, güvenlik güncellemelerini içerecek şekilde paketlerini güncellemesi gerekir. Güncellemelere sahip olmayan paketlerden başlatılan yeni Çalışma Alanlarının tümü, başlatıldıktan kısa bir süre sonra düzeltme eki alır. Çalışma Alanlarındaki varsayılan güncelleme ayarlarını değiştiren müşterilerin, Microsoft'un sunduğu güvenlik güncellemelerini manuel olarak uygulamak için yukarıdaki adımları takip etmesi gerekir.
WorkSpaces Application Manager (WAM)
Müşterilerin şu eylemlerden birini seçmesini tavsiye ederiz:
1. Seçenek: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution adresinde Microsoft tarafından sunulan adımları izleyerek çalışan WAM Paketleyici ve Doğrulayıcı bulut sunucularında Microsoft düzeltme eklerini manuel olarak uygulayın. Bu sayfada Windows Server için daha fazla talimat ve indirme bulunur.
2. Seçenek: Gün sonuna kadar (4.01.2018) kullanıma sunulacak olan WAM Paketleyici ve Doğrulayıcı için güncellenmiş AMI’lerden yeni WAM Paketleyici ve Doğrulayıcı EC2 bulut sunucularını yeniden oluşturun.