Son Güncelleme: 17 Haziran 2019 14:15 PDT
CVE Tanımlayıcıları: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Bu güncelleme, bu sorunla ilgilidir.
Amazon Linux için güncellenmiş Linux çekirdekleri, Amazon Linux depolarında erişilebilirdir ve güncellenmiş Amazon Linux AMI’leri kullanıma açıktır. Hâlihazırda Amazon Linux çalıştıran EC2 bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için Amazon Linux’u çalıştıran tüm EC2 bulut sunucularında şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
Amazon Linux kullanmayan müşteriler bu sorunların DoS ile ilgili potansiyel endişelerini hafifletmek amacıyla gerekli her güncelleme ve talimat için işletim sistemi satıcıları ile irtibata geçmelidir. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde mevcuttur.
Amazon Elastic Compute Cloud (EC2)
TCP bağlantılarını doğrudan internet gibi güvenilir olmayan taraflara başlatan veya bu taraflardan alan EC2 Linux tabanlı bulut sunucuları kullanan müşteriler, bu sorunların DoS ile ilgili potansiyel endişelerini hafifletmek için işletim sistemi düzeltme eklerini uygulamalıdır. NOT: Amazon Elastic Load Balancing (ELB) kullanan müşteriler daha fazla rehberlik için aşağıdaki “Elastic Load Balancing (ELB)” bölümünü incelemelidir.
Elastic Load Balancing (ELB)
TCP Network Load Balancer’lar (NLB’ler), TLS oturumlarını sonlandırmak için yapılandırılmadıkları sürece trafiği filtrelemezler. TLS oturumlarını sonlandırmak için yapılandırılan NLB’ler bu sorunun risklerini azaltmak için ilave bir müşteri işlemi gerektirmez.
TLS oturumlarını sonlandırmayan TCP NLB’lerini kullanan Linux tabanlı EC2 bulut sunucuları, bu sorunlara yönelik DoS ile ilgili potansiyel endişeleri hafifletmek için işletim sistemi düzeltme eklerini gerektirir. Amazon Linux için güncellenmiş çekirdeklere artık erişilebilir ve şu anda Amazon Linux çalıştıran EC2 bulut sunucularının güncellenmesi için talimatlar yukarıda verilmiştir. Amazon Linux kullanmayan müşteriler, DoS ile ilgili potansiyel endişeleri hafifletmek amacıyla gerekli her güncelleme ve talimat için işletim sistemi satıcıları ile irtibata geçmelidir.
TLS Sonlandırma (TLS NLB) ile Elastic Load Balancing (ELB), Classic Load Balancer’lar, Application Load Balancer’lar veya Network Load Balancer’lar kullanan Linux tabanlı EC2 bulut sunucuları herhangi bir müşteri işlemi gerektirmez. ELB Classic ve ALB bu sorunların DoS ile ilgili potansiyel endişelerini hafifletmek için gelen trafiği filtreleyecektir.
Amazon WorkSpaces (Linux)
Tüm yeni Amazon Linux WorkSpaces, güncellenmiş çekirdeklerle başlatılacaktır. Mevcut Amazon Linux WorkSpaces için Amazon Linux 2'ye yönelik güncellenmiş çekirdekler zaten yüklenmiştir.
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir. Müşterilerin en kısa sürede manuel olarak yeniden başlatmalarını öneriyoruz. Aksi halde, Amazon Linux WorkSpaces 18 Haziran’da yerel saatle 12:00 ile 4:00 arasında otomatik olarak yeniden başlayacaktır.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Hâlihazırda çalışan tüm Amazon EKS kümeleri bu sorunlara karşı korunmaktadır. Amazon EKS, 17 Haziran 2019 tarihinde düzeltme eki uygulanmış Amazon Linux 2 çekirdeğine sahip güncellenmiş EKS için optimize edilmiş Amazon Machine Image’ları (AMI) yayınladı. EKS için optimize edilmiş AMI ile ilgili daha fazla bilgi şurada mevcuttur: https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
EKS müşterilerinin en son EKS için optimize edilmiş AMI sürümünü kullanmaları için tüm çalışan düğümleri değiştirmelerini öneriyoruz. Çalışan düğümleri güncellemeye yönelik talimatlara şuradan erişilebilir: https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Linux tabanlı platformları, 17 Haziran 2019 tarihinde erişilebilir olacaktır. Yeni platform sürümleri erişilebilir olduğunda bu bülten güncellenecektir. Yönetilen Platform Güncellemeleri kullanan müşteriler, başka bir işleme gerek duymadan seçili bakım zaman aralığında en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca, Yönetilen Platform Güncellemelerini kullanan müşteriler mevcut güncellemeleri seçili bakım zaman aralığından daha erken, bağımsız olarak uygulamak için Yönetilen Güncellemeler yapılandırması sayfasına giderek “Şimdi Uygula” düğmesine tıklayabilir.
Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, yukarıdaki talimatları izleyerek ortamlarının platform sürümünü güncellemelidir. Yönetilen Platform Güncellemeleri ile ilgili daha fazla bilgiye şuradan erişilebilir: https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
Amazon ElastiCache
Amazon ElastiCache, müşterilerin VPC’lerinde Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümeleri başlatır. Bunlar varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmez.
Varsayılan ElastiCache VPC yapılandırmasında değişiklik yapan her müşteri, potansiyel DoS endişelerini hafifletmek amacıyla güvenilir olmayan istemcilerden gelen ağ trafiğini engelleyecek şekilde yapılandırma yaparak ElastiCache güvenlik gruplarının AWS tarafından önerilen güvenlik en iyi uygulamalarını takip etmesini sağlamalıdır. ElastiCache VPC yapılandırmasına yönelik daha fazla bilgiye şuradan erişilebilir: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VPCs.html.
ElastiCache kümeleri VPC’lerinin dışında çalışan ve varsayılan yapılandırmada değişikliklik yapan müşteriler, ElastiCache güvenlik gruplarını kullanarak güvenilir erişim yapılandırmalıdır. ElastiCache güvenlik grupları oluşturmaya yönelik daha fazla bilgiye şuradan erişilebilir: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html
ElastiCache ekibi, bu sorunları gideren yeni bir düzeltme ekini kısa bir süre içinde yayınlayacaktır. Bu düzeltme eki erişilebilir olur olmaz müşterilere bunun uygulanabilir olduğunu bildireceğiz. Müşteriler daha sonra ElastiCache self servis güncelleme özelliği ile kümelerini güncellemeyi seçebilir. ElastiCache self servis düzeltme eki güncellemelerine yönelik daha fazla bilgi şuradan erişilebilir: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/applying-updates.html.
Amazon EMR
Amazon EMR, müşteriler adına müşterilerin VPC’lerinde Amazon Linux çalıştıran Amazon EC2 bulut sunucusu kümelerini başlatır. Bu kümeler varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmez.
Varsayılan EMR VPC yapılandırmasında değişiklik yapan her müşteri, potansiyel DoS endişelerini hafifletmek amacıyla güvenilir olmayan istemcilerden gelen ağ trafiğini engelleyecek şekilde yapılandırma yaparak EMR güvenlik gruplarının AWS tarafından önerilen güvenlik en iyi uygulamaları takip etmelerini sağlamalıdır. EMR güvenlik gruplarına yönelik daha fazla bilgi şuradan erişilebilir: https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html.
AWS tarafından önerilen güvenlik en iyi uygulamalarına göre EMR güvenlik gruplarını yapılandırmayı seçmeyen (veya herhangi bir ek güvenlik politikasını yerine getirmek için işletim sistemi düzeltme ekine ihtiyaç duyan) müşteriler, bu sorunların risklerini azaltmak amacıyla yeni veya mevcut EMR kümelerini güncellemek için aşağıdaki talimatları takip edebilir. NOT: Bu güncellemeler küme bulut sunucularının yeniden başlatılmasını gerektirecektir ve çalışan uygulamaları etkileyebilir. Müşteriler gerekli olduğunu düşünene kadar kümelerini yeniden başlatmamalıdır:
Yeni kümelerde, Linux çekirdek güncellemesi ve her bulut sunucusunu yeniden başlatma için bir EMR önyükleme eylemi kullanın. EMR önyükleme işlemleri ile ilgili daha fazla bilgiye şuradan erişilebilir: https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Mevcut kümelerde, küme içindeki her bulut sunucusunda Linux çekirdeğini güncelleyin ve bunları sırayla yeniden başlatın.