Son Güncelleme: 18 Haziran 2019 11:45AM PDT
CVE Tanımlayıcıları: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Bu güncelleştirme, bu sorunla ilgilidir.
Amazon Elastic Container Service (ECS)
Amazon ECS, 17 ve 18 Haziran 2019 tarihinde düzeltme eki uygulanmış Amazon Linux ve Amazon Linux 2 çekirdeği ile güncel ECS için optimize edilmiş Amazon Machine Image’ları (AMI) yayınladı. Son sürümü elde etmeye yönelik bilgiler de dahil olmak üzere ECS için optimize edilmiş AMI ile ilgili daha fazla bilgi şurada sunulmuştur: https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
ECS müşterilerine ECS için optimize edilmiş AMI’nin son sürümünü kullanmak için EC2 container bulut sunucularını güncellemelerini öneriyoruz.
Amazon GameLift
Linux tabanlı Amazon Gamelift bulut sunucuları için güncellenmiş bir AMI, tüm Amazon Gamelift bölgelerinde sunulmuştur. Linux tabanlı Amazon Gamelift bulut sunucusu kullanan müşterilere güncellenmiş AMI’yi almak için yeni Filolar oluşturmalarını öneriyoruz. Filo oluşturmaya yönelik daha fazla bilgi şurada sunulmuştur: https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Linux tabanlı platform sürümleri sunulmuştur. Yönetilen Platform Güncellemeleri kullanan müşteriler, başka bir işleme gerek duymadan seçili bakım pencerelerinde en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca, Yönetilen Platform Güncellemelerini kullanan müşteriler mevcut güncellemeleri bağımsız olarak uygulamak için Yönetilen Güncellemeler yapılandırması sayfasına giderek “Şimdi Uygula” butonuna tıklayabilirler.
Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, yukarıdaki talimatları izleyerek ortamlarının platform sürümünü güncelleyebilir. Yönetilen Platform Güncellemeleri ile ilgili daha fazla bilgi şurada sunulmuştur: https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon Linux ve Amazon Linux 2
Amazon Linux için güncellenmiş Linux çekirdekleri Amazon Linux depolarında sunulmuştur ve güncellenmiş Amazon Linux AMI’ları kullanıma açıktır. Hâlihazırda Amazon Linux çalıştıran EC2 bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için Amazon Linux’u çalıştıran her bir EC2 bulut sunucu dahilindeki şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
Amazon Linux kullanmayan müşteriler bu sorunların DoS ile ilgili potansiyel endişeleri azaltmak için gerekli her güncelleme ve talimat için işletim sistemi satıcıları ile irtibata geçmelidir. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde sunulmuştur.
Amazon Elastic Compute Cloud (EC2)
TCP bağlantılarını doğrudan internet gibi güvenilir olmayan taraflara başlatan veya bu taraflardan alan EC2 Linux tabanlı bulut sunucuları kullanan müşteri bu sorunların DoS ile ilgili potansiyel endişelerini azaltacak işletim sistemi düzeltme eklerini gerektirir. NOT: Amazon Elastic Load Balancing (ELB) kullanan müşteriler daha fazla rehberlik için “Elastic Load Balancing (ELB)” kısmını incelemelidir.
Elastic Load Balancing (ELB)
TCP Network Load Balancer’lar (NLB’ler), TLS oturumlarını sonlandırmak için yapılandırılmadıkları sürece trafiği filtrelemezler. TLS oturumlarını sonlandırmak için yapılandırılan NLB’ler bu sorunu azaltmak için ilave bir müşteri işlemi gerektirmez.
TLS oturumlarını sonlandırmayan TCP NLB’lerini kullanan Linux tabanlı EC2 bulut sunucuları bu sorunlara yönelik DoS ile ilgili potansiyel endişelerini azaltacak işletim sistemi düzeltme eklerini gerektirir. Amazon Linux için güncellenmiş çekirdekler şu an sunulmuştur ve şuan Amazon Linux’u çalıştıran EC2 sunucularının güncellenmesi için talimatlar yukarıda verilmiştir. Amazon Linux kullanmayan müşteriler DoS ile ilgili herhangi bir potansiyel endişeyi azaltmak için gereken her güncelleme ve talimat için işletim sistemi satıcıları ile irtibata geçmelidir.
TLS Sonlandırma (TLS NLB) ile Elastic Load Balancing (ELB), Classic Load Balancer’ları, Application Load Balancer’ları veya Network Load Balancer’ları kullanan Linux tabanlı EC2 bulut sunucuları herhangi bir müşteri işlemi gerektirmez. ELB Classic ve ALB bu sorunların DoS ile ilgili herhangi bir potansiyel endişeyi azaltmak için gelen trafiği filtreleyecektir.
Amazon WorkSpaces (Linux)
Tüm yeni Amazon Linux WorkSpaces güncellenmiş çekirdeklerle başlatılacaktır. Hâlihazırdaki Amazon Linux WorkSpaces için çoktan Amazon Linux 2 için güncellenmiş çekirdekler indirilmiştir.
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir. Müşterilere mümkün olduğunca manuel olarak yeniden başlatmalarını öneriyoruz. Aksi halde, Amazon Linux WorkSpaces 18 Haziran’da yerel saatle 12:00AM ve 4:00AM arasında otomatik olarak yeniden başlayacaktır.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Hâlihazırda çalışan tüm Amazon EKS kümeleri bu sorunlara karşı korunur. Amazon EKS, 17 Haziran 2019 tarihinde düzeltme eki uygulanmış Amazon Linux 2 çekirdeği ile güncel EKS için optimize edilmiş Amazon Machine Image’ları (AMI) yayınladı. EKS için optimize edilmiş AMI ile ilgili daha fazla bilgi şurada sunulmuştur: https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
EKS müşterilerine en son EKS için optimize edilmiş AMI sürümünü kullanmaları için tüm çalışan düğümlerini değiştirmelerini öneriyoruz. Çalışan düğümlerini güncellemeye yönelik talimatlar şurada sunulmuştur: https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Amazon ElastiCache
Amazon ElastiCache, müşteri VPC’lerine Amazon Linux’u çalıştıran Amazon EC2 bulut sunucuları kümelerini başlatır. Bunlar varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmezler.
Varsayılan ElastiCache VPC yapılandırmasına değişiklik yapılan her müşteri, her potansiyel DoS endişesini azaltmak amacıyla güvenilir olmayan istemcilerden gelen ağ trafiğini engelleyecek şekilde yapılandırarak ElastiCache güvenlik gruplarının AWS tarafından önerilen en iyi uygulamaları takip etmelerini sağlamalıdır. ElastiCache VPC yapılandırmasına yönelik daha fazla bilgi şurada sunulmuştur: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
ElastiCache kümeleri VPC’lerinin dışında çalışan ve varsayılan yapılandırmaya değişikliklik yapan müşteriler ElastiCache güvenlik gruplarını kullanarak güvenilir erişim yapılandırmalıdır. ElastiCache güvenlik gruplarını oluşturmaya yönelik daha fazla bilgi için bakınız: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ElastiCache ekibi kısa bir süre sonra bu sorunları ele alan yeni bir düzeltme eki yayınlayacaktır. Bu düzeltme eki erişilebilir olur olmaz müşterilere bunun uygulanabilir olduğunu bildireceğiz. Müşteriler daha sonra ElastiCache self servis güncelleme özelliği ile kümelerini güncellemeyi seçebilirler. ElastiCache self servis düzeltme eki güncellemelerine yönelik daha fazla bilgi şurada sunulmuştur:https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR, müşteriler adına müşterilerin VPC’lerinde Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümelerini başlatır. Bu kümeler varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmezler.
Varsayılan EMR VPC yapılandırmasına değişiklik yapan her müşteri, EMR güvenlik gruplarının AWS tarafından önerilen en iyi uygulamaları takip etmelerini sağlamalıdır: her potansiyel DoS endişesini azaltmak için güvenilir olmayan istemciden gelen ağ trafiğini engellemek. EMR güvenlik gruplarına yönelik daha fazla bilgi için bakınız: https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html
AWS tarafından önerilen en iyi güvenlik uygulamalarına göre EMR güvenlik gruplarını yapılandırmayı seçmeyen (veya herhangi bir ek güvenlik politikasını yerine getirmek için işletim sistemi düzeltme eki gerektiren) müşteriler bu sorunları azaltmak amacıyla yeni veya mevcut EMR kümelerini güncellemek için aşağıdaki talimatları takip edebilirler. NOT: Bu güncellemeler küme bulut sunucularının yeniden başlatılmalarını gerektirecektir ve çalışan uygulamaları etkileyebilir. Müşteriler gerekli olduğunu düşünene kadar kümelerini yeniden başlatmamalıdır:
Yeni kümelerde, Linux çekirdek güncelleştirmesi ve her bir bulut sunucusunu yeniden başlatma için bir EMR ön yüklemesi kullanın. EMR ön yükleme işlemleri ile ilgili daha fazla bilgi şurada sunulmuştur: https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Yeni kümelerde her bir bulut sunucusundaki Linux çekirdeğini güncelleyin ve bunları sürekli yeniden başlatın.