Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. En güncel sürüm için lütfen şu bölümü inceleyin: "Linux Çekirdeği TCP SACK Hizmet Reddi Sorunları".
17 Haziran 2019 10:00 PDT
CVE Tanımlayıcıları: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
AWS, Linux çekirdeğinin TCP işleme alt sistemini etkileyen ve kısa bir süre önce ortaya çıkan üç sorunun farkındadır. Ayrıntı vermek gerekirse, kötü amaçlı bir TCP istemcisi veya sunucusu, bağlantı kuran herhangi bir hedeflenen sistemin Linux çekirdeğinin panikleyip yeniden başlatmasına neden olabilecek özel olarak oluşturulmuş bir dizi paketi aktarabilir.
AWS'nin temel sistemleri ve altyapısı, bu sorunlara karşı korunmaktadır. Aşağıda listelenen AWS hizmetleri dışında, bu sorunlarla ilgili herhangi bir potansiyel hizmet reddi (DoS) endişesini gidermek için müşterilerin hiçbir işlem yapmasına gerek yoktur.
Amazon Elastic Compute Cloud (EC2)
TCP bağlantılarını doğrudan internet gibi güvenilir olmayan taraflara başlatan veya bu taraflardan alan EC2 Linux tabanlı bulut sunucuları kullanan müşteriler, bu sorunların DoS ile ilgili potansiyel endişelerini hafifletmek için işletim sistemi düzeltme eklerini uygulamalıdır. NOT: Amazon Elastic Load Balancing (ELB) kullanan müşteriler daha fazla rehberlik için aşağıdaki “Elastic Load Balancing (ELB)” bölümünü incelemelidir.
Amazon Linux AMI ve Amazon Linux 2 AMI
Güncellenmiş Amazon Linux AMI'leri kısa bir süre içinde kullanıma sunulacaktır. Kullanıma sunulduklarında bu bülteni güncelleyeceğiz.
Amazon Linux AMI ve Amazon Linux 2 için güncellenmiş çekirdekler, Amazon Linux depolarında şu anda mevcuttur. Hâlihazırda Amazon Linux çalıştıran EC2 bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için Amazon Linux’u çalıştıran tüm EC2 bulut sunucularında şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
Daha fazla bilgi kısa bir süre içinde Amazon Linux Güvenlik Merkezi’nde sunulacaktır.
Elastic Load Balancing (ELB)
Network Load Balancer'lar (NLB'ler) trafiği filtrelemez. NLB’leri kullanan Linux tabanlı EC2 bulut sunucuları, bu sorunlara yönelik DoS ile ilgili potansiyel endişeleri hafifletmek için işletim sistemi düzeltme eklerini gerektirir. Amazon Linux için güncellenmiş çekirdekler artık erişilebilirdir ve şu anda Amazon Linux çalıştıran EC2 bulut sunucularının güncellenmesi için talimatlar yukarıda verilmiştir. Amazon Linux kullanmayan müşteriler, DoS ile ilgili potansiyel endişeleri hafifletmek amacıyla gerekli her güncelleme ve talimat için işletim sistemi satıcıları ile irtibata geçmelidir.
Elastic Load Balancing (ELB), Classic Load Balancer’lar ve Application Load Balancer’lar kullanan Linux tabanlı EC2 bulut sunucuları herhangi bir müşteri işlemi gerektirmez. ELB Classic ve ALB bu sorunların DoS ile ilgili potansiyel endişelerini hafifletmek için gelen trafiği filtreleyecektir.
Amazon WorkSpaces (Linux)
Tüm yeni Amazon Linux WorkSpaces, güncellenmiş çekirdeklerle başlatılacaktır. Mevcut Amazon Linux WorkSpaces için Amazon Linux 2'ye yönelik güncellenmiş çekirdekler zaten yüklenmiştir.
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir. Müşterilerin en kısa sürede manuel olarak yeniden başlatmalarını öneriyoruz. Aksi halde, Amazon Linux WorkSpaces 18 Haziran’da yerel saatle 12:00 ile 4:00 arasında otomatik olarak yeniden başlayacaktır.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Hâlihazırda çalışan tüm Amazon EKS kümeleri bu sorunlara karşı korunmaktadır. Amazon EKS, 17 Haziran 2019 tarihinde düzeltme eki uygulanmış Amazon Linux 2 çekirdeğine sahip güncellenmiş EKS için optimize edilmiş Amazon Machine Image’ları (AMI) yayınladı. EKS için optimize edilmiş AMI ile ilgili daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
EKS müşterilerinin en son EKS için optimize edilmiş AMI sürümünü kullanmaları için tüm çalışan düğümleri değiştirmelerini öneriyoruz. Çalışan düğümleri güncellemeye yönelik talimatlar şurada mevcuttur: https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Linux tabanlı platformları, 17 Haziran 2019 tarihinde erişilebilir olacaktır. Yeni platform sürümleri erişilebilir olduğunda bu bülten güncellenecektir. Yönetilen Platform Güncellemeleri kullanan müşteriler, başka bir işleme gerek duymadan seçili bakım zaman aralığında en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca, Yönetilen Platform Güncellemelerini kullanan müşteriler mevcut güncellemeleri seçili bakım zaman aralığından daha erken, bağımsız olarak uygulamak için Yönetilen Güncellemeler yapılandırması sayfasına giderek “Şimdi Uygula” düğmesine tıklayabilir.
Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, yukarıdaki talimatları izleyerek ortamlarının platform sürümünü güncellemelidir. Yönetilen Platform Güncellemeleri ile ilgili daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache, müşterilerin VPC’lerinde Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümeleri başlatır. Bunlar varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmez.
Varsayılan ElastiCache VPC yapılandırmasında değişiklik yapan her müşteri, potansiyel DoS endişelerini hafifletmek amacıyla güvenilir olmayan istemcilerden gelen ağ trafiğini engelleyecek şekilde yapılandırma yaparak ElastiCache güvenlik gruplarının AWS tarafından önerilen güvenlik en iyi uygulamalarını takip etmesini sağlamalıdır. ElastiCache VPC yapılandırmasına yönelik daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
ElastiCache kümeleri VPC’lerinin dışında çalışan ve varsayılan yapılandırmada değişikliklik yapan müşteriler, ElastiCache güvenlik gruplarını kullanarak güvenilir erişim yapılandırmalıdır. ElastiCache güvenlik grupları oluşturmaya yönelik daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ElastiCache ekibi, bu sorunları gideren yeni bir düzeltme ekini kısa bir süre içinde yayınlayacaktır. Bu düzeltme eki erişilebilir olur olmaz müşterilere bunun uygulanabilir olduğunu bildireceğiz. Müşteriler daha sonra ElastiCache self servis güncelleme özelliği ile kümelerini güncellemeyi seçebilir. ElastiCache self servis düzeltme eki güncellemelerine yönelik daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR, müşteriler adına müşterilerin VPC’lerinde Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümelerini başlatır. Bu kümeler varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmez.
Varsayılan EMR VPC yapılandırmasında değişiklik yapan her müşteri, potansiyel DoS endişelerini hafifletmek amacıyla güvenilir olmayan istemcilerden gelen ağ trafiğini engelleyecek şekilde yapılandırma yaparak EMR güvenlik gruplarının AWS tarafından önerilen güvenlik en iyi uygulamaları takip etmelerini sağlamalıdır. EMR güvenlik gruplarına yönelik daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html.
AWS tarafından önerilen güvenlik en iyi uygulamalarına göre EMR güvenlik gruplarını yapılandırmayı seçmeyen (veya herhangi bir ek güvenlik politikasını yerine getirmek için işletim sistemi düzeltme ekine ihtiyaç duyan) müşteriler, bu sorunların risklerini azaltmak amacıyla yeni veya mevcut EMR kümelerini güncellemek için aşağıdaki talimatları takip edebilir. NOT: Bu güncellemeler küme bulut sunucularının yeniden başlatılmasını gerektirecektir ve çalışan uygulamaları etkileyebilir. Müşteriler gerekli olduğunu düşünene kadar kümelerini yeniden başlatmamalıdır:
Yeni kümelerde, Linux çekirdek güncellemesi ve her bulut sunucusunu yeniden başlatma için bir EMR önyükleme eylemi kullanın. EMR önyükleme işlemleri ile ilgili daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Mevcut kümelerde, küme içindeki her bulut sunucusunda Linux çekirdeğini güncelleyin ve bunları sırayla yeniden başlatın.