13 فبراير 2019، الساعة 9:00 مساءً بتوقيت المحيط الهادئ
معرّف CVE: CVE-2019-5736
تُدرك AWS مشكلة الأمان التي تم الكشف عنها مؤخرًا والتي تؤثر على العديد من أنظمة إدارة الحاويات مفتوحة المصدر (CVE-2019-5736). وباستثناء خدمات AWS المدرجة أدناه، لا يلزم أن يتَّخذ العميل أي إجراء لمعالجة هذه المشكلة.
Amazon Linux
يتوفر إصدار محدَّث من Docker (docker-18.06.1ce-7.amzn2) للمستودعات الإضافية من Amazon Linux 2 ومستودعات Amazon Linux AMI 2018.03 (ALAS-2019-1156). تُوصي AWS بإطلاق العملاء الذين يستخدمون Docker في Amazon Linux مثيلات جديدة من أحدث إصدارات AMI. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
تتوفر ECS Optimized AMI من Amazon الآن، بما في ذلك Amazon Linux AMI، وAmazon Linux 2 AMI، وGPU-Optimized AMI. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء ECS تكويناتهم لإطلاق المثيلات الجديدة التي تعمل كحاويات مهام من أحدث إصدارات AMI. يجب على العملاء استبدال المثيلات الحالية التي تعمل كحاويات مهام بإصدار AMI الجديد لمعالجة المشكلة المذكورة أعلاه. يمكن العثور على تعليمات استبدال المثيلات الحالية التي تعمل كحاويات مهام في مستندات ECS الخاصة بـ Amazon Linux AMI، وAmazon Linux 2 AMI، وGPU-Optimized AMI.
ويُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع نظام التشغيل أو البرنامج أو AMI تحققًا من وجود التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
يتوفر EKS Optimized AMI من Amazon المحدَّث في AWS Marketplace. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء EKS تكويناتهم لإطلاق عُقد العامل الجديدة من أحدث إصدارات AMI. يجب على العملاء استبدال عُقد العامل الحالية بإصدار AMI الجديد لمعالجة المشكلة المذكورة أعلاه. يمكن العثور على تعليمات حول كيفية تحديث عُقد العامل في مستندات EKS.
يجب على عملاء Linux الذين لا يستخدمون EKS Optimized AMI التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux.
AWS Fargate
يتوفر إصدار محدَّث من Fargate لإصدار المنصة 1.3 الذي يقلِّل من المشكلات المذكورة في CVE-2019-5736. وستتوفر الإصدارات المصحَّحة لإصدارات المنصة القديمة (1.0.0، و1.1.0، و1.2.0) اعتبارًا من 15 مارس 2019.
يجب على العملاء الذين يشغِّلون خدمات Fargate الاتصال بخدمة التحديث مع تمكين «--فرض-التوزيع-الجديد» لإطلاق جميع المهام الجديدة بإصدار المنصة 1.3 الأحدث. يجب على العملاء الذين يشغِّلون المهام المستقلة إنهاء المهام الحالية، وإعادة إطلاقها باستخدام أحدث إصدار. يمكن العثور على التعليمات المحددة في مستندات تحديث Fargate.
ستُستبعد أي مهام لم يتم ترقيتها إلى إصدار مصحَّح اعتبارًا من 19 أبريل 2019. يجب على العملاء الذين يستخدمون المهام المستقلة إطلاق المهام الجديدة لاستبدال تلك المهام المُستبعدة. يمكن العثور على التفاصيل الإضافية في مستندات استبعاد مهام Fargate.
AWS IoT Greengrass
تتوفر الإصدارات المحدَّثة من AWS IoT GreenGrass core للإصدارين 1.7.1 و1.6.1. تتطلَّب الإصدارات المحدَّثة الميزات المتوفرة في إصدار 3.17 لنواة Linux فما أحدث. يمكن العثور على التعليمات حول كيفية تحديث النواة هنا.
وكأفضل ممارسة أمنية عامة، نُوصي بترقية العملاء الذين يشغِّلون أي إصدار من GreenGrass core إلى الإصدار 1.7.1. يمكن العثور على التعليمات حول التحديث اللاسلكي هنا.
AWS Batch
يتوفر ECS Optimized AMI من Amazon المحدَّث كـ AMI لبيئة الحوسبة الافتراضية. وكأفضل ممارسة أمنية عامة، نُوصي باستبدال عملاء Batch لبيئات الحوسبة الحالية بأحدث AMI متوفرة. تتوفر تعليمات استبدال بيئة الحوسبة في مستندات منتجات Batch.
يجب على عملاء Batch الذين لا يستخدمون AMI الافتراضية التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات. تتوفر تعليمات AMI المخصَّصة لـ Batch في مستندات منتجات Batch.
AWS Elastic Beanstalk
تتوفر إصدارات منصة AWS Elastic Beanstalk المستندة إلى Docker. سيتم تحديث العملاء الذين يستخدمون تحديثات المنصة المُدارة تلقائيًا إلى أحدث إصدار من المنصة في نافذة الصيانة المحددة، ولا يلزم أن يتَّخذ العميل أي إجراء. كما يمكن أن يقوم العملاء بالتحديث على الفور من خلال الانتقال إلى صفحة تكوين التحديثات المُدارة والنقر فوق زر «تطبيق الآن». يستطيع العملاء الذين لم يمكّنوا تحديثات المنصة المُدارة تحديث إصدار منصة بيئتهم عبر اتباع التعليمات التالية الموجودة هنا.
AWS Cloud9
يتوفر إصدار محدَّث من بيئة AWS Cloud9 في Amazon Linux. وبشكل افتراضي، سيتم تطبيق التصحيحات الأمنية عند أول تشغيل. يجب على العملاء الذين توجد لديهم بيئات AWS Cloud9 حالية مستندة إلى EC2 إطلاق المثيلات الجديدة من أحدث إصدارات AWS Cloud9. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
يجب على عملاء AWS Cloud9 الذين يستخدمون بيئات SSH التي لم يتم إنشاؤها بواسطة Amazon Linux التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات.
AWS SageMaker
يتوفر إصدار محدَّث من Amazon SageMaker. لن يتأثَّر العملاء الذين يستخدمون الحاويات اللوغاريتمية الافتراضية من Amazon SageMaker أو حاويات إطار العمل للتدريب أو التوليف أو نقل الحزم أو نقاط النهاية. ولن يتأثَّر أيضًا العملاء الذين يشغِّلون مهام التسمية أو التحويل البرمجي. لن يتأثَّر العملاء الذين لا يستخدمون دفاتر ملاحظات Amazon SageMaker لتشغيل حاويات Docker. تشتمل جميع مهام نقاط النهاية والتسمية والتدريب والتوليف والتحويل البرمجي ونقل الحزم التي تم إطلاقها في 11 فبراير أو بعدها على آخر التحديثات ولا يلزم أن يتَّخذ العميل أي إجراءات. تتضمن جميع دفاتر ملاحظات Amazon SageMaker التي تم تشغيلها يوم 11 فبراير أو بعده بمثيلات CPU وجميع دفاتر ملاحظات Amazon SageMaker التي تم تشغيلها يوم 13 فبراير الساعة 6:00 مساءً بتوقيت المحيط الهادئ أو بعد ذلك بمثيلات GPU جميع التحديثات الأخيرة ولا يلزم قيام العميل بأي إجراء.
تُوصي AWS بأن العملاء الذين يشغِّلون مهام التدريب والتوليف ونقل الحزم باستخدام رمز مخصص تم إنشاؤه قبل 11 فبراير يجب عليهم إيقاف مهامهم وإعادة تشغيلها لتضمين آخر تحديث. يمكن تنفيذ هذه الإجراءات من وحدة تحكم Amazon SageMaker أو عن طريق اتباع التعليمات الموجودة هنا.
تحدِّث Amazon SageMaker تلقائيًا جميع نقاط النهاية المضمَّنة في الخدمة إلى أحدث البرامج كل أربعة أسابيع. من المتوقع تحديث جميع نقاط النهاية التي تم إنشاؤها قبل 11 فبراير بحلول 11 مارس. إذا كانت توجد أي مشكلات بشأن التحديثات التلقائية ويجب على العملاء اتِّخاذ الإجراءات لتحديث نقاط النهاية، فستنشر Amazon SageMaker إخطارًا في لوحة معلومات السلامة الشخصية الخاصة بالعملاء. يستطيع العملاء الذين يريدون تحديث نقاط النهاية مبكرًا تحديثها يدويًا من وحدة تحكم Amazon SageMaker أو عن طريق استخدام إجراء واجهة برمجة تطبيقات تحديث نقاط النهاية في أي وقت. نُوصي بأن يتَّخذ العملاء الذين لديهم نقاط النهاية مع تمكين تغيير الحجم التلقائي الإجراءات الاحتياطية الإضافية للتعليمات التالية الموجودة هنا.
توصي AWS العملاء الذين يقومون بتشغيل حاويات Docker في دفاتر ملاحظات Amazon SageMaker إيقاف مثيلات دفاتر ملاحظات Amazon SageMaker وإعادة تشغيلها للحصول على أحدث البرامج المتوفرة. ويمكن إجراء ذلك من وحدة تحكم Amazon SageMaker. وبدلاً من ذلك، يستطيع العملاء أولاً إيقاف مثيل دفتر الملاحظات باستخدام واجهة برمجة تطبيقات إيقاف مثيل دفتر الملاحظات ثم إعادة تشغيل مثيل دفتر الملاحظات باستخدام واجهة برمجة تطبيقات إعادة تشغيل مثيل دفتر الملاحظات.
AWS RoboMaker
يتوفر إصدار محدَّث من بيئة تطوير AWS RoboMaker. ستستخدم بيئات التطوير الجديدة أحدث إصدار. وكأفضل ممارسة أمنية عامة، تُوصي AWS بأن العملاء الذين يستخدمون بيئات تطوير RoboMaker يجب عليهم استمرار تحديث بيئات Cloud9 إلى أحدث إصدار.
يتوفر إصدار محدّث من AWS IoT GreenGrass core. يجب على جميع العملاء الذين يستخدمون إدارة أسطول RoboMaker ترقية GreenGrass core إلى الإصدار 1.7.1. يمكن العثور على التعليمات حول الترقية اللاسلكية هنا.
AWS Deep Learning AMI
تتوفر الإصدارات المحدّثة من Deep Learning Base AMI وDeep Learning AMI لـ Amazon Linux وUbuntu في AWS Marketplace. تُوصي AWS العملاء الذين قد استخدموا Docker مع Deep Learning AMI أو Deep Learning Base AMI بتشغيل مثيلات جديدة من أحدث إصدارات AMI (الإصدارv21.2 أو الأحدث من Deep Learning AMI على Amazon Linux وUbuntu والإصدار v16.2 أو الأحدث من Deep Learning Base AMI على Amazon Linux والإصدار v15.2 أو الأحدث من Deep Learning Base AMI على Ubuntu). تتوفر معلومات إضافية في مركز أمان Amazon Linux.