يتم عرض إصدار سابق من نشرة الأمان هذه. للحصول على أحدث نسخة، يُرجى زيارة «المشكلة الأمنية للحاويات (CVE-2019-5736)».
11 من فبراير 2019 12:00 ظهرًا بتوقيت منطقة المحيط الهادئ
معرف CVE: CVE-2019-5736
تتمتع AWS بإدراك للمشكلة الأمنية المُفصح عنها مؤخرًا والتي تؤثر في العديد من أنظمة إدارة الحاويات مفتوحة المصدر(CVE-2019-5736). باستثناء خدمات AWS المدرجة أدناه، لا يلزم أن يتخذ العميل أي إجراء لمعالجة هذه المشكلة.
Amazon Linux
هناك إصدار مُحدث من Docker متاح لمستودعات Amazon Linux 2 (ALAS-2019-1156) وAmazon Linux AMI 2018.03 (ALAS-2019-1156). توصي AWS بإطلاق العملاء الذين يستخدمون Docker في Amazon Linux أمثلة جديدة من أحدث إصدار AMI. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
متاح الآن AMIs المحسنة الخاصة بـ Amazon ECS بما في ذلك Amazon Linux AMI, Amazon Linux 2 AMI, وGPU-Optimized AMI. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء ECS تهيئتهم لإطلاق المثيلات التي تعمل كحاويات مهام الجديدة من أحدث إصدارات AMI. ينبغي على العملاء استبدال المثيلات التي تعمل كحاويات مهام الموجودة بالإصدار AMI الجديد لمواجهة المشكلة المُدرجة أعلاه. يمكن العثور على تعليمات استبدال المثيلات التي تعمل كحاويات مهام الموجودة في مستندات ECS الخاصة بـ Amazon Linux AMI، وAmazon Linux 2 AMIK وGPU-Optimized AMI.
ويُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع نظامك التشغيلي أو برنامجك أو AMI تحققًا من التحديثات والتعليمات الضرورية. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux .
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
يتوفر EKS Optimized AMI من Amazon المحدَّث في AWS Marketplace. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء EKS تكويناتهم لإطلاق عُقد العامل الجديدة من أحدث إصدارات AMI. ينبغي على العملاء استبدال المثيلات التي تعمل كعقد عمل الموجودة بالإصدار AMI الجديد لمواجهة المشكلة المُدرجة أعلاه. يمكن العثور على تعليمات حول كيفية تحديث عقد العمل في مستندات EKS.
يجب على عملاء Linux الذين لا يستخدمون EKS Optimized AMI التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux .
AWS Fargate
يتوفر إصدار محدَّث من Fargate لإصدار المنصة 1.3 الذي يقلِّل من المشكلات المذكورة في CVE-2019-5736. وستتوفر الإصدارات المصحَّحة لإصدارات المنصة القديمة (1.0.0، و1.1.0، و1.2.0) اعتبارًا من 15 مارس 2019.
يجب على العملاء الذين يشغِّلون خدمات Fargate الاتصال بخدمة التحديث مع تمكين «--فرض-النشر-الجديد» لإطلاق جميع المهام الجديدة بإصدار المنصة 1.3 الأحدث. يجب على العملاء الذين يقومون بتشغيل مهام مستقلة إنهاء المهام الحالية وإعادة إطلاقها باستخدام أحدث الإصدارات. يمكن العثور على التعليمات المحددة في مستندات تحديث Fargate.
سيتم استبعاد أي مهام لم تتم ترقيتها إلى إصدار مصحَّح اعتبارًا من 19 أبريل 2019. يجب على العملاء الذين يستخدمون مهامًا مستقلة إطلاق مهام جديدة لاستبدال تلك المهام المتوقفة. يمكن العثور على تفاصيل إضافية في مستندات إيقاف مهام Fargate.
AWS IoT Greengrass
تتوفر الإصدارات المحدَّثة من AWS IoT GreenGrass core للإصدارين 1.7.1 و1.6.1. تتطلَّب الإصدارات المحدَّثة الميزات المتوفرة في إصدار 3.17 لنواة Linux أو أحدث. يمكن العثور على التعليمات حول كيفية تحديث النواة هنا.
وكأفضل ممارسة أمنية عامة، نُوصي بترقية العملاء الذين يشغِّلون أي إصدار من GreenGrass core إلى الإصدار 1.7.1. يمكن العثور على التعليمات حول التحديث اللاسلكي هنا.
AWS Batch
يتوفر ECS Optimized AMI من Amazon المحدَّث كـ AMI لبيئة الحوسبة الافتراضية. وكأفضل ممارسة أمنية عامة، نُوصي باستبدال عملاء Batch لبيئات الحوسبة الحالية بأحدث إصدارات AMI متوفرة. تتوفر تعليمات استبدال بيئة الحوسبة في مستندات منتجات Batch.
يجب على عملاء Batch الذين لا يستخدمون AMI الافتراضي التواصل مع بائع نظام التشغيل للحصول على التحديثات اللازمة لمعالجة هذه المشكلات. تتوفر تعليمات AMI المخصَّص لـ Batch في مستندات منتجات Batch.
AWS Elastic Beanstalk
تتوفر إصدارات منصة AWS Elastic Beanstalk المستندة إلى Docker. سيتم تحديث العملاء الذين يستخدمون تحديثات المنصة المُدارة تلقائيًا إلى أحدث إصدار من المنصة في نافذة الصيانة المحددة، ولا يلزم أن يتَّخذ العميل أي إجراء. كما يمكن أن يقوم العملاء بالتحديث على الفور من خلال الانتقال إلى صفحة تكوين التحديثات المُدارة والنقر فوق زر "تطبيق الآن". يستطيع العملاء الذين لم يقوموا بتمكين تحديثات المنصة المُدارة تحديث إصدار منصة البيئة لديهم باتباع التعليمات التالية الموجودة هنا.
AWS Cloud9
يتوفر إصدار محدّث من بيئة AWS Cloud9 في Amazon Linux. سيتم تطبيق تصحيحات الأمان عند التشغيل للمرة الأولى بشكل افتراضي. يجب على العملاء الذين يمتلكون حاليًا بيئات AWS Cloud9 مستندة إلى EC2 إطلاق المثيلات الجديدة من أحدث إصدارات AWS Cloud9. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
يجب على عملاء AWS Cloud9 الذين يستخدمون بيئات SSH التي لم يتم إنشاؤها بواسطة Amazon Linux التواصل مع بائع نظام التشغيل للحصول على التحديثات اللازمة لمعالجة هذه المشكلات.
AWS SageMaker
يتوفر إصدار محدّث من Amazon SageMaker. لن يتأثر العملاء الذين يستخدمون نقاط نهاية أو نقل الحزمة أو عملية ضبط أو تدريب أو حاويات إطار عمل أو حاويات لوغاريتم افتراضية من Amazon SageMaker. لن يتأثر أيضًا العملاء الذين يقومون بتشغيل مهام التسمية أو التجميع. لن يتأثر العملاء الذين لا يستخدمون دفاتر ملاحظات Amazon SageMaker لتشغيل حاويات Docker. بالإضافة إلى ذلك، تشمل جميع دفاتر ملاحظات Amazon SageMaker التي تم إطلاقها يوم 11 من فبراير أو بعده مع مثيلات CPU آخر التحديثات ولا يلزم قيام العميل بأي إجراء. تتضمن جميع مهام نقل الحزمة والتجميع والضبط والتدريب والتسمية ونقاط النهاية التي تم إطلاقها يوم 11 من فبراير أو بعده آخر التحديثات ولا يلزم قيام العميل بأي إجراء.
تُوصي AWS العملاء الذين يقومون بتشغيل مهام نقل الحزمة والضبط والتدريب باستخدام تعليمات برمجية مخصصة تم إنشاؤها قبل 11 من فبراير بإيقاف مهامهم وإعادة تشغيلها حتى يتم تضمين آخر تحديث. يمكن تنفيذ هذه الإجراءات من وحدة تحكم Amazon SageMaker أو باتباع التعليمات الموجودة هنا.
يقوم Amazon SageMaker تلقائيًا بتحديث جميع نقاط النهاية المضمنة في الخدمة إلى أحدث البرامج كل أربعة أسابيع. من المتوقع أن يتم تحديث جميع نقاط النهاية التي تم إنشاؤها قبل 11 من فبراير اعتبارًا من 11 مارس. في حال وجود أي مشكلة متعلقة بالتحديثات التلقائية وكان مطلوبًا من العملاء اتخاذ إجراء لتحديث نقاط النهاية لديهم، فسيقوم Amazon SageMaker بنشر إخطارًا في لوحة معلومات السلامة الشخصية الخاصة بالعملاء. يستطيع العملاء الذين يرغبون في تحديث نقاط النهاية مبكرًا تحديثها يدويًا بالانتقال إلى وحدة تحكم Amazon SageMaker أو باستخدام إجراء واجهة برمجة التطبيقات تحديث نقطة النهاية في أي وقت. نُوصي العملاء الذين لديهم نقاط نهاية يمكن التكيف تلقائيًا باتخاذ الإجراءات الاحتياطية الإضافية الواردة في التعليمات التالية هنا.
توصي AWS العملاء الذين يقومون بتشغيل حاويات Docker في دفاتر ملاحظات Amazon SageMaker التي يتم تشغيلها مع مثيلات CPU إيقاف مثيلات دفاتر ملاحظات Amazon SageMaker وإعادة تشغيلها للحصول على أحدث البرامج المتوفرة. يمكن إجراء ذلك من وحدة تحكم Amazon SageMaker. أو بدلاً من ذلك يستطيع العملاء أولاً إيقاف مثيل دفتر الملاحظات باستخدام واجهة برمجة التطبيقات StopNotebookInstance ثم إعادة تشغيله باستخدام واجهة برمجة التطبيقات StartNotebookInstance.
سيتم توفير إصدار محدّث من دفاتر ملاحظات Amazon SageMaker بمثيلات GPU للعملاء بعد فترة وجيزة من إصدار تصحيحات Nvidia. سيتم تحديث هذه النشرة بمجرد توفر إصدار محدّث. يستطيع العملاء الذين يقومون بتشغيل حاويات Docker في دفاتر ملاحظات بمثيلات GPU اتخاذ إجراءات وقائية عن طريق إيقاف مثيلات دفاتر الملاحظات مؤقتًا من وحدة التحكم، أو باستخدام واجهة برمجة التطبيقاتStopNotebookInstance ثم إعادة تشغيلها باستخدام StartNotebookInstance بمجرد توفر الإصدار المحدّث.
AWS RoboMaker
سيتم توفير إصدار محدّث من بيئة تطوير AWS RoboMaker بعد فترة وجيزة من إصدار تصحيحات Docker وCanonical. سيتم تحديث هذه النشرة بمجرد توفر التحديث. كأفضل ممارسة أمان عامة، توصي AWS العملاء الذين يستخدمون بيئات تطوير RoboMaker بالاستمرار في تحديث بيئات Cloud9 إلى أحدث إصدار.
سيتم توفير إصدار محدّث من AWS IoT Greengrass core اعتبارًا من 11 من فبراير 2019. سيتم تحديث هذه النشرة بمجرد توفر الإصدار المحدّث. يجب على جميع العملاء الذين يستخدمون نظام إدارة مجموعة تطبيقات RoboMaker ترقية Greengrass core إلى الإصدار الأخير بمجرد أن يتم توفير Greengrass core المحدّث. للحصول على التحديث، يجب على العملاء اتباع هذه التعليمات.
AMI الخاصة بخدمة AWS للتعلم العميق
تتوفر الإصدارات المحدَّثة من Base AMI للتعلم العميق وAMI للتعلم العميق لـ Amazon Linux في AWS Marketplace. تُوصي AWS بأن العملاء الذين قد استخدموا Docker مع AMI للتعلم العميق أو Base AMI للتعلم العميق يجب عليهم إطلاق مثيلات جديدة من أحدث إصدارات AMI (v21.1 لـ AMI للتعلم العميق وv16.1 لـ Base AMI للتعلم العميق في Amazon Linux). تتوفر معلومات إضافية في مركز أمان Amazon Linux.
تُوصي AWS بأن العملاء الذين استخدموا Docker مع AMI للتعلم العميق أو Base AMI للتعلم العميق في Ubuntu يجب عليهم إطلاق المثيلات الجديدة من أحدث إصدارات AMI واتباع هذه التعليمات لترقية Docker (تأكد من اتباع جميع خطوات التثبيت).
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
سيتوفر الإصدار المحدَّث من Base AMI للتعلم العميق وAMI للتعلم العميق من أجل Ubuntu للتنزيل بعد إصدار جميع تصحيحات الأمن ذات الصلة. وسيتم تحديث هذه النشرة عندما تتوفر إصدارات AMI المحدَّثة.
تُوصي AWS أيضًا بأن يبقى العملاء على اطِّلاع على نشرة الأمن من Nvidia للحصول على التحديثات إلى nvidia-docker2 والمنتجات ذات الصلة.