أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه. للحصول على أحدث نسخة، يُرجى زيارة : «المشكلة الأمنية للحاويات (CVE-2019-5736)».
11 فبراير 2019، الساعة 7:00 صباحًا بتوقيت المحيط الهادئ
معرّف CVE: CVE-2019-5736
تُدرك AWS مشكلة الأمان التي تم الكشف عنها مؤخرًا والتي تؤثر على العديد من أنظمة إدارة الحاويات مفتوحة المصدر (CVE-2019-5736). وباستثناء خدمات AWS المدرجة أدناه، لا يلزم أن يتَّخذ العميل أي إجراء لمعالجة هذه المشكلة.
Amazon Linux
هناك إصدار مُحدث من Docker متاح لمستودعات Amazon Linux 2 (ALAS-2019-1156) وAmazon Linux AMI 2018.03 (ALAS-2019-1156). تُوصي AWS بإطلاق العملاء الذين يستخدمون Docker في Amazon Linux مثيلات جديدة من أحدث إصدارات AMI. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
ستكون الإصدارات المحدّثة من Amazon ECS Optimized AMI بما في ذلك Amazon Linux AMI وAmazon Linux 2 AMI وGPU-Optimized AMI متاحة اعتبارًا من 11 فبراير 2019. سيتم تحديث هذه النشرة عند توفر إصدارات محدّثة من AMI. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء ECS تكويناتهم لإطلاق المثيلات الجديدة التي تعمل كحاويات مهام من أحدث إصدارات AMI. يجب على العملاء استبدال المثيلات الحالية التي تعمل كحاويات مهام بإصدار AMI الجديد لمعالجة المشكلة المذكورة أعلاه. يمكن العثور على التعليمات الخاصة بذلك في مستندات ECS الخاصة بـ Amazon Linux AMI، وAmazon Linux 2 AMI، وGPU-Optimized AMI.
يُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع أي نظام تشغيل أو برنامج أو AMI بديل/خارجي لمعرفة التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
سيتم توفير إصدار محدّث من Amazon EKS Optimized AMI اعتبارًا من 11 فبراير 2019. سيتم تحديث هذه النشرة عند توفر إصدارات محدّثة من AMI. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء EKS تكويناتهم لإطلاق عُقد العامل الجديدة من أحدث إصدارات AMI. يجب على العملاء استبدال عُقد العامل الحالية بإصدار AMI الجديد لمعالجة المشكلة المذكورة أعلاه. يمكن العثور على تعليمات حول كيفية تحديث عُقد العامل في مستندات EKS.
يجب على عملاء Linux الذين لا يستخدمون EKS Optimized AMI التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux.
AWS Fargate
يتوفر إصدار محدَّث من Fargate لإصدار المنصة 1.3 الذي يقلِّل من المشكلات المذكورة في CVE-2019-5736. وستتوفر الإصدارات المصحَّحة لإصدارات المنصة القديمة (1.0.0، و1.1.0، و1.2.0) اعتبارًا من 15 مارس، 2019.
يجب على العملاء الذين يشغِّلون خدمات Fargate الاتصال بخدمة التحديث مع تمكين «--فرض-النشر-الجديد» لإطلاق جميع المهام الجديدة بإصدار المنصة 1.3 الأحدث. يجب على العملاء الذين يشغِّلون المهام المستقلة إنهاء المهام الحالية، وإعادة إطلاقها باستخدام أحدث إصدار. يمكن العثور على التعليمات المحددة في مستندات تحديث Fargate.
ستُستبعد أي مهام لم يتم ترقيتها إلى إصدار مصحَّح اعتبارًا من 19 أبريل، 2019. يجب على العملاء الذين يستخدمون المهام المستقلة إطلاق المهام الجديدة لاستبدال تلك المهام المُستبعدة. يمكن العثور على التفاصيل الإضافية في مستندات استبعاد مهام Fargate.
AWS IoT Greengrass
ستكون الإصدارات المحدَّثة من AWS IoT Greengrass core متوفرة اعتبارًا من 11 فبراير 2019. سيتم تحديث هذه النشرة بمجرد توفر الإصدارات المصححّة. تتطلَّب الإصدارات المحدَّثة الميزات المتوفرة في إصدار 3.17 لنواة Linux فما أحدث. يمكن العثور على التعليمات حول كيفية تحديث النواة هنا.
وكأفضل ممارسة أمنية عامة، نُوصي بترقية العملاء الذين يشغِّلون أي إصدار من GreenGrass core إلى الإصدار 1.7.1. يمكن العثور على التعليمات حول التحديث اللاسلكي هنا.
AWS Batch
سيتم توفير إصدار محدّث من Amazon ECS Optimized AMI اعتبارًا من 11 فبراير 2019 بصفته AMI لبيئة حوسبة افتراضية. سيتم تحديث هذه النشرة بمجرد توفر AMI. وكأفضل ممارسة عامة، نوصي عملاء Batch باستبدال بيئات الحوسبة الحالية بأحدث إصدارات AMI بعد توفرها. إذا كان أحد عملاء Batch بحاجة إلى التحديث الفوري، فمن المستحسن أن يقوم بتجاوز AMI الافتراضي بأحدث إصدارات ECS Optimized AMI عند إنشاء بيئة حوسبة. تتوفر تعليمات استبدال بيئة الحوسبة في مستندات منتجات Batch.
يجب على عملاء Batch الذين لا يستخدمون AMI الافتراضية التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات. تتوفر تعليمات AMI المخصَّصة لـ Batch في مستندات منتجات Batch.
AWS Elastic Beanstalk
ستكون الإصدارات المحدّثة من المنصات المستندة إلى AWS Elastic Beanstalk Docker متوفرة اعتبارًا من 11 فبراير 2019. سيتم تحديث هذه النشرة بمجرد توفر إصدارات المنصات الجديدة. سيتم تحديث العملاء الذين يستخدمون تحديثات المنصة المُدارة تلقائيًا إلى أحدث إصدار من المنصة في نافذة الصيانة المحددة، ولا يلزم أن يتَّخذ العميل أي إجراء. كما يمكن أن يقوم العملاء بالتحديث على الفور من خلال الانتقال إلى صفحة تكوين التحديثات المُدارة والنقر فوق زر «تطبيق الآن». يستطيع العملاء الذين لم يمكّنوا تحديثات المنصة المُدارة تحديث إصدار منصة بيئتهم عبر اتباع التعليمات التالية الموجودة هنا.
AWS Cloud9
يتوفر إصدار محدَّث من بيئة AWS Cloud9 في Amazon Linux. وبشكل افتراضي، سيتم تطبيق التصحيحات الأمنية عند أول تشغيل. يجب على العملاء الذين توجد لديهم بيئات AWS Cloud9 حالية مستندة إلى EC2 إطلاق المثيلات الجديدة من أحدث إصدارات AWS Cloud9. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
يجب على عملاء AWS Cloud9 الذين يستخدمون بيئات SSH التي لم يتم إنشاؤها بواسطة Amazon Linux التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات.
AWS SageMaker
يتوفر إصدار محدّث من Amazon SageMaker. لن يتأثَّر العملاء الذين يستخدمون الحاويات اللوغاريتمية الافتراضية من Amazon SageMaker أو حاويات إطار العمل للتدريب أو التوليف أو نقل الحزم أو نقاط النهاية. ولن يتأثَّر أيضًا العملاء الذين يشغِّلون مهام التسمية أو التحويل البرمجي. لن يتأثَّر العملاء الذين لا يستخدمون دفاتر ملاحظات Amazon SageMaker لتشغيل حاويات Docker. وبالإضافة إلى ذلك، تشتمل جميع دفاتر ملاحظات Amazon SageMaker التي تم إطلاقها في 11 فبراير أو بعدها مع مثيلات CPU على آخر التحديثات ولا يلزم أن يتَّخذ العميل أي إجراءات. تشتمل جميع مهام نقاط النهاية والتسمية والتدريب والتوليف والتحويل البرمجي ونقل الحزم التي تم إطلاقها في 11 فبراير أو بعدها على آخر التحديثات ولا يلزم أن يتَّخذ العميل أي إجراءات.
تُوصي AWS بأن العملاء الذين يشغِّلون مهام التدريب والتوليف ونقل الحزم باستخدام رمز مخصص تم إنشاؤه قبل 11 فبراير يجب عليهم إيقاف مهامهم وإعادة تشغيلها لتضمين آخر تحديث. يمكن تنفيذ هذه الإجراءات من وحدة تحكم Amazon SageMaker أو عن طريق اتباع التعليمات الموجودة هنا.
تحدِّث Amazon SageMaker تلقائيًا جميع نقاط النهاية المضمَّنة في الخدمة إلى أحدث البرامج كل أربعة أسابيع. من المتوقع تحديث جميع نقاط النهاية التي تم إنشاؤها قبل 11 فبراير بحلول 11 مارس. إذا كانت توجد أي مشكلات بشأن التحديثات التلقائية ويجب على العملاء اتِّخاذ الإجراءات لتحديث نقاط النهاية، فستنشر Amazon SageMaker إخطارًا في لوحة معلومات السلامة الشخصية الخاصة بالعملاء. يستطيع العملاء الذين يريدون تحديث نقاط النهاية مبكرًا تحديثها يدويًا من وحدة تحكم Amazon SageMaker أو عن طريق استخدام إجراء واجهة برمجة تطبيقات تحديث نقاط النهاية في أي وقت. نُوصي بأن يتَّخذ العملاء الذين لديهم نقاط النهاية مع تمكين تغيير الحجم التلقائي الإجراءات الاحتياطية الإضافية للتعليمات التالية الموجودة هنا.
تُوصي AWS بأن العملاء الذين يشغِّلون حاويات Docker في دفاتر ملاحظات Amazon SageMaker الذي يتم تشغيلها مع مثيلات CPU يجب عليهم إيقاف مثيلات دفاتر ملاحظات Amazon SageMaker وإعادة تشغيلها للحصول على أحدث البرامج المتوفرة. ويمكن إجراء ذلك من وحدة تحكم Amazon SageMaker. وبدلاً من ذلك، يستطيع العملاء أولاً إيقاف مثيل دفتر الملاحظات باستخدام واجهة برمجة تطبيقات إيقاف مثيل دفتر الملاحظات ثم إعادة تشغيل مثيل دفتر الملاحظات باستخدام واجهة برمجة تطبيقات إعادة تشغيل مثيل دفتر الملاحظات.
سيتوفر إصدار محدَّث من دفاتر ملاحظات Amazon SageMaker ذات مثيلات GPU للعملاء بعد فترة وجيزة من إصدار تصحيحات Nvidia. سيتم تحديث هذه النشرة عندما يتوفر إصدار محدَّث. يستطيع العملاء الذين يشغِّلون حاويات Docker في دفاتر الملاحظات ذات مثيلات GPU اتِّخاذ الإجراءات الوقائية عن طريق إيقاف مثيلات دفاتر الملاحظات مؤقتًا عبر وحدة التحكم، أو عن طريق استخدام واجهة برمجة تطبيقات إيقاف مثيل دفتر الملاحظات ثم إعادة تشغيل مثيل دفتر الملاحظات باستخدام إعادة تشغيل مثيل دفتر الملاحظات بمجرد توافر الإصدار المحدَّث.
AWS RoboMaker
سيتم توفير إصدار محدّث من بيئة تطوير AWS RoboMaker بعد فترة وجيزة من إصدار تصحيحات Docker وCanonical. سيتم تحديث هذه النشرة بمجرد توفر التحديث. وكأفضل ممارسة أمنية عامة، تُوصي AWS بأن العملاء الذين يستخدمون بيئات تطوير RoboMaker يجب عليهم استمرار تحديث بيئات Cloud9 إلى أحدث إصدار.
سيتم توفير إصدار محدّث من AWS IoT Greengrass core اعتبارًا من 11 من فبراير 2019. سيتم تحديث هذه النشرة بمجرد توفر الإصدار المحدّث. يجب على جميع العملاء الذين يستخدمون نظام إدارة مجموعة تطبيقات RoboMaker ترقية Greengrass core إلى الإصدار الأخير بمجرد أن يتم توفير Greengrass core المحدّث. للحصول على التحديث، يجب على العملاء اتباع هذه التعليمات.
AWS Deep Learning AMI
توصي AWS العملاء الذين قد استخدموا Docker مع Deep Learning AMI أو Deep Learning Base AMI على Amazon Linux بإطلاق مثيلات جديدة من أحدث إصدارات AMI وتشغيل الأمر التالي لترقية Docker:
ترقية docker على sudo yum
سيتم توفير إصدار محدّث من Deep Learning Base AMI وDeep Learning AMI للتنزيل بعد إصدار جميع تصحيحات الأمان ذات الصلة. وسيتم تحديث هذه النشرة عندما تتوفر AMI الجديد.
تتوفر معلومات إضافية في مركز أمان Amazon Linux.
بعد أن يتم إصدار تحديثات Docker على Ubuntu للمشكلات الموضحة في CVE-2019-5736، توصي AWS العملاء الذين قد استخدموا Docker مع Deep Learning AMI أو Deep Learning Base AMI على Ubuntu بإطلاق مثيلات جديدة من أحدث إصدارات AMI واتباع التعليمات التالية لترقية Docker (يجب التأكد من اتباع جميع خطوات التثبيت):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
تُوصي AWS أيضًا بأن يبقى العملاء على اطِّلاع على نشرة الأمن من Nvidia للحصول على التحديثات إلى nvidia-docker2 والمنتجات ذات الصلة.