Linux カーネル TCP SACK DoS(Denial of Service)攻撃問題のAWS への影響について

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Linux カーネルでリモートからカーネルパニックを起こすことができる脆弱性が見つかっています。

NFLX-2019-001 Linux and FreeBSD Kernel: Multiple TCP-based remote denial of service vulnerabilities

AWS 上の各種サービスへの影響がまとめられていたので翻訳してみました。

現在影響の判明しているサービスは以下の通りです。

  • Amazon Elastic Container Service (ECS)
  • Amazon GameLift
  • AWS Elastic Beanstalk
  • Amazon Linux and Amazon Linux 2
  • Amazon Elastic Compute Cloud (EC2)
  • Elastic Load Balancing (ELB)
  • Amazon WorkSpaces (Linux)
  • Amazon Elastic Container Service for Kubernetes (Amazon EKS)
  • Amazon ElastiCache
  • Amazon EMR

Linux Kernel TCP SACK Denial of Service Issues<https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-005/> の暫定抄訳となっています。。詳細は原文を参照してください。 かなり広い範囲で AWS サービスに影響が出るようです。2019 年6月18日午前11時45分(PDT/日本時間で2019年6月19日4時45分) 時点の資料です。

CVE 識別子: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479

Amazon Elastic Container Service (ECS)

Amazon ECS では Amazon Linux と Amazon Linux 2 カーネルにパッチを適用した ECS最適化 Amazon Machine Images (AMIs) が 2019年6月17日と18日に発行されています。

最新バージョンを取得する方法を含む ECS最適化AMI についての詳細は以下を参照してください。 Amazon Elastic Container Service Amazon ECS-optimized AMIs

ECS をご利用中の方は最新の ECS 最適化AMI を使用して EC2 コンテナ インスタンスをアップデートすることを推奨します。

Amazon GameLift

全ての Amazon GameLift が利用可能なリージョンでアップデートされた Linux ベースの Amazon GameLift インスタンス用 AMI が利用可能です。Amazon GameLift をご利用中の方はアップデートされた AMI を使用した Amazon GameLift インスタンスを使って、新しいフリートを作成することを推奨します。 フリートの作成に関しての詳細は以下を参照してください。

Deploy a GameLift Fleet for a Custom Game Build

AWS Elastic Beanstalk

アップデートされた AWS Elastic Beanstalk上のLinuxベースプラットフォームが利用可能です。

マネージドプラットフォームアップデートをご利用中の方は、選択されているメンテナンスウィンドウで最新のプラットフォーム バージョンに自動的にアップデートされるので、何もしなくても構いません。(※訳注 すげー超便利)

マネージドプラットフォームアップデートをご利用中の方は、マネージドプラットファームアップデート設定ページで “今すぐ適用” ボタンを押すことで、選択されているメンテナンスウィンドウよりも早くアップデートを適用することもできます。

マネージドプラットフォームアップデートを有効にしていない方は、上記手順に従って円倍路面とプラットフォームのバージョン をアップデートしてください。

マネージドプラットフォームアップデートの詳細は以下を参照してください。

AWS Elastic Beanstalk Managed Platform Updates

Amazon Linux and Amazon Linux 2

Amazon Linux 向けカーネルアップデートが Amazon Linux リポジトリで利用可能です。 また アップデートされた Amazon Linux AMI が利用可能です。

現在、Amazon Linux を実行している EC2 インスタンスを運用中の方は以下のコマンドを実行してください。

sudo yum update kernel

Linux カーネルアップデートの標準に従って、yum update コマンド完了後、アップデートを有効にするために再起動が必要になります。

Amazon Linux 以外をご使用中のかたはこの問題に関する潜在的な DoS 攻撃に対して必要な様々な緩和策やアップデートについて はそれぞれのオペレーティングシステムのベンダーにお問い合わせください。

より詳細な情報は以下をご参照ください。

Amazon Linux Security Center

Amazon Elastic Compute Cloud (EC2)

インターネットなどの不特定多数からの TCP 接続を実施する Linuxベースの EC2 インスタンスを実行中の方は、この問題に関連 する潜在的な DoS 攻撃を緩和するオペレーティングシステムパッチが必要です。

(※訳注 多くの公開 WEB サーバが該当します。)

注意: Amazon Elastic Load Balancing (ELB) をご利用中の方は後述する “Elastic Load Balancing (ELB)” に追加の 情報があるのでご参照ください。

Elastic Load Balancing (ELB)

TCP ネットワークロードバランサ (NLBs) は TLS セッションを終端しない場合、トラフィックをフィルターしません。 TLSを終端するように設定された NLB はこの問題への追加の緩和策は必要ありません。

TLS セッションを終端しない NLB を使用している Linuxベースの EC2 インスタンスはこの問題に関連する潜在的な DoS 攻撃を緩和するために、オペレーティングシステムのパッチ適用が必要です。

Amazon Linux 用のアップデートカーネルが利用可能です。現在 Amazon Linux を実行中の EC2 インスタンスをアップデートする 手順は 上記の通りです。

Amazon Linux を利用していない方は、いろいろな DoS 攻撃問題を緩和するために必要な手順やアップデートについてオペレーテ ィングシステムベンダーにお問い合わせください。

Elastic ロードバランシング (ELB) クラシックロードバランサ、アプリケーションロードバランサ、TLSを終端するネットワーク ロードバランサ(TLS NLB) は何もする必要がありません。ELB クラシックと ALB はこの問題に関する潜在的な DoS 攻撃を緩和するために、着信トラフィックををフィルターします。

Amazon WorkSpaces (Linux)

全ての新しい Amazon Linux WorkSpaces はアップデートされたカーネルで起動します。既存のAmazon Linux WorkSpaces にはアップデートされた Amazon Linux 2 用の カーネルがインストール済みです。

Linux カーネルの標準に従って、アップデートを有効にするためには再起動が必要です。可能な限り速やかな手動での再起動をお 勧めします。そうでない場合は、Amazon Linux WorkSpaces 6月18日の12:00AM から 4:00AM の間に自動的にリブートします。

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

全ての現在実行中の Amazon EKS クラスタはこの問題に対して保護されています。Amazon EKS では 2019年6月17日に Amazon Linux 2 にパッチを適用し、Amazon EKS 最適化 Amazon Machine Images (AMIs) のアップデートが公開されています。

EKS 最適化 AMI に関する詳細は以下をご参照ください。

Amazon EKS-Optimized AMI

全てのワーカノード を 最新バージョンの EKS 最適化 AMI に置き換えることを推奨します。ワーカノードをアップデートする手 順は以下を参照してください。

Worker Node Updates

Amazon ElastiCache

Amazon ElastiCache は、VPC 内に Amazon Linux を実行する Amazon EC2 インスタンスのクラスタを起動します。これらはデフォルトでは信頼できない TCP 接続を受け付けないため、この問題の影響をうけません。

デフォルトから ElastiCache の設定を変更されている方は、AWS 推奨のセキュリティベストプラクティスに従って ElastiCache のセキュリティグループ設定を確認してください。これらの設定をすることで様々な潜在的な DoS 攻撃の問題を緩和するために、信 頼できないクライアントからのネットワークトラフィックをブロックすることができます。

ElastiCache VPC 設定に関する詳細は以下をご参照ください。

Amazon VPCs and ElastiCache Security

VPC の外部で ElastiCache クラスタを実行中でデフォルト設定を変更された方は、ElastiCache セキュリティグループを使用して信頼できるアクセス元を設定してください。ElastiCache セキュリティグループの詳細は以下を参照してください。

Security Groups: EC2-Classic

ElastiCache チームは間もなくこの問題に関する新しいパッチをリリースします。パッチが利用可能になったときは、適用可能に なったことを通知します。ElastiCache セルフサービスアップデート機能を利用してクラスタをアップデートすることを選択することができます。ElastiCache セルフサービスアップデート機能の詳細は以下をご覧ください。

Applying the Self-Service Updates

Amazon EMR

Amazon EMR は VPC 内に Amazon Linux を実行する Amazon EC2 インスタンスによるクラスタを起動することができます。これら のクラスタは信頼できない TCP 接続をデフォルトでは受け付けません。そのためこの問題の影響をうけません。

デフォルトの EMR VPC 設定を変更されているかたは、AWS 推奨のセキュリティベストプラクティスに従って、EMR セキュリティグループを確認してください。これらの設定をすることで様々な潜在的な DoS 攻撃の問題を緩和するために、信頼できないクライアン トからのネットワークトラフィックをブロックすることができます。

EMR セキュリティグループ設定の詳細は以下をご参照ください。

Control Network Traffic with Security Groups

AWS が推奨するセキュリティベストプラクティスに従って EMR セキュリティグループを設定しないことを選択された方、もしくは何らかの追加のセキュリティポリシーに定期号するためにオペレーティングシステムパッチが必要な方は、この問題を緩和するために既存もしくは新規の EMR クラスタをアップデートすることができます。

注意: これらのアップデートはクラスタインスタンスのリブートが必要です。実行中のアプリケーションに影響があるかもしれま せん。そのため、再起動するタイミングには注意が必要です。

新しいクラスタに関しては、 EMR ブートストラップアクションを Linux カーネルのアップデートとそれぞれのインスタンスのリ ブートに利用することができます。ブートストラップアクションに関しては以下の文書を参照してください。

Create Bootstrap Actions to Install Additional Software

既存のクラスタに関しては、クラスタ内の個別のインスタンス毎に対して順番にカーネルアップデートの適用と再起動を行うこと ができます。

以上