إنك تقوم بعرض إصدار سابق من نشرة الأمن. للحصول على أحدث نسخة، يُرجى زيارة : «المشكلة الأمنية للحاويات (CVE-2019-5736)».
11 فبراير 2019 الساعة 11:00 مساءً بتوقيت منطقة المحيط الهادئ
مُعرِّف CVE: CVE-2019-5736
تُدرك AWS المشكلة الأمنية المُفصح عنها مؤخرًا والتي تؤثر في العديد من أنظمة إدارة الحاويات مفتوحة المصدر (CVE-2019-5736). وباستثناء خدمات AWS المدرجة أدناه، لا يلزم أن يتَّخذ العميل أي إجراء لمعالجة هذه المشكلة.
Amazon Linux
يتوفر إصدار محدَّث من Docker (docker-18.06.1ce-7.amzn2) للمستودعات الإضافية من Amazon Linux 2 ومستودعات Amazon Linux AMI 2018.03 (ALAS-2019-1156). تُوصي AWS بإطلاق العملاء الذين يستخدمون Docker في Amazon Linux مثيلات جديدة من أحدث إصدارات AMI. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
تتوفر ECS Optimized AMI من Amazon الآن، بما في ذلك Amazon Linux AMI، وAmazon Linux 2 AMI، وGPU-Optimized AMI. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء ECS تكويناتهم لإطلاق المثيلات الجديدة التي تعمل كحاويات مهام من أحدث إصدارات AMI. يجب على العملاء استبدال المثيلات الحالية التي تعمل كحاويات مهام بإصدار AMI الجديد لمعالجة المشكلة المذكورة أعلاه. يمكن العثور على تعليمات استبدال المثيلات الحالية التي تعمل كحاويات مهام في مستندات ECS الخاصة بـ Amazon Linux AMI، وAmazon Linux 2 AMI، وGPU-Optimized AMI.
ويُنصح عملاء Linux الذين لا يستخدمون ECS Optimized AMI باستشارة بائع نظام التشغيل أو البرنامج أو AMI تحققًا من وجود التحديثات والتعليمات حسب الحاجة. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
يتوفر EKS Optimized AMI من Amazon المحدَّث في AWS Marketplace. وكأفضل ممارسة أمنية عامة، نوصي بتحديث عملاء EKS تكويناتهم لإطلاق عُقد العامل الجديدة من أحدث إصدارات AMI. يجب على العملاء استبدال عُقد العامل الحالية بإصدار AMI الجديد لمعالجة المشكلة المذكورة أعلاه. يمكن العثور على تعليمات حول كيفية تحديث عُقد العامل في مستندات EKS.
يجب على عملاء Linux الذين لا يستخدمون EKS Optimized AMI التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات. تتوفر التعليمات بشأن Amazon Linux في مركز أمان Amazon Linux.
AWS Fargate
يتوفر إصدار محدَّث من Fargate لإصدار المنصة 1.3 الذي يقلِّل من المشكلات المذكورة في CVE-2019-5736. وستتوفر الإصدارات المصحَّحة لإصدارات المنصة القديمة (1.0.0، و1.1.0، و1.2.0) اعتبارًا من 15 مارس 2019.
يجب على العملاء الذين يشغِّلون خدمات Fargate الاتصال بخدمة التحديث مع تمكين «--فرض-النشر-الجديد» لإطلاق جميع المهام الجديدة بإصدار المنصة 1.3 الأحدث. يجب على العملاء الذين يشغِّلون المهام المستقلة إنهاء المهام الحالية، وإعادة إطلاقها باستخدام أحدث إصدار. يمكن العثور على التعليمات المحددة في مستندات تحديث Fargate.
ستُستبعد أي مهام لم يتم ترقيتها إلى إصدار مصحَّح اعتبارًا من 19 أبريل 2019. يجب على العملاء الذين يستخدمون المهام المستقلة إطلاق المهام الجديدة لاستبدال تلك المهام المُستبعدة. يمكن العثور على التفاصيل الإضافية في مستندات استبعاد مهام Fargate.
AWS IoT Greengrass
تتوفر الإصدارات المحدَّثة من AWS IoT GreenGrass core للإصدارين 1.7.1 و1.6.1. تتطلَّب الإصدارات المحدَّثة الميزات المتوفرة في إصدار 3.17 لنواة Linux فما أحدث. يمكن العثور على التعليمات حول كيفية تحديث النواة هنا.
وكأفضل ممارسة أمنية عامة، نُوصي بترقية العملاء الذين يشغِّلون أي إصدار من GreenGrass core إلى الإصدار 1.7.1. يمكن العثور على التعليمات حول التحديث اللاسلكي هنا.
AWS Batch
يتوفر ECS Optimized AMI من Amazon المحدَّث كـ AMI لبيئة الحوسبة الافتراضية. وكأفضل ممارسة أمنية عامة، نُوصي باستبدال عملاء Batch لبيئات الحوسبة الحالية بأحدث AMI متوفرة. تتوفر تعليمات استبدال بيئة الحوسبة في مستندات منتجات Batch.
يجب على عملاء Batch الذين لا يستخدمون AMI الافتراضية التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات. تتوفر تعليمات AMI المخصَّصة لـ Batch في مستندات منتجات Batch.
AWS Elastic Beanstalk
تتوفر إصدارات منصة AWS Elastic Beanstalk المستندة إلى Docker. سيتم تحديث العملاء الذين يستخدمون تحديثات المنصة المُدارة تلقائيًا إلى أحدث إصدار من المنصة في نافذة الصيانة المحددة، ولا يلزم أن يتَّخذ العميل أي إجراء. كما يمكن أن يقوم العملاء بالتحديث على الفور من خلال الانتقال إلى صفحة تكوين التحديثات المُدارة والنقر فوق زر «تطبيق الآن». يستطيع العملاء الذين لم يمكّنوا تحديثات المنصة المُدارة تحديث إصدار منصة بيئتهم عبر اتباع التعليمات التالية الموجودة هنا.
AWS Cloud9
يتوفر إصدار محدَّث من بيئة AWS Cloud9 في Amazon Linux. وبشكل افتراضي، سيتم تطبيق التصحيحات الأمنية عند أول تشغيل. يجب على العملاء الذين توجد لديهم بيئات AWS Cloud9 حالية مستندة إلى EC2 إطلاق المثيلات الجديدة من أحدث إصدارات AWS Cloud9. يتوفر المزيد من المعلومات في مركز أمان Amazon Linux.
يجب على عملاء AWS Cloud9 الذين يستخدمون بيئات SSH التي لم يتم إنشاؤها بواسطة Amazon Linux التواصل مع بائع نظام التشغيل للحصول على التحديثات الضرورية لمعالجة هذه المشكلات.
AWS SageMaker
يتوفر إصدار محدَّث من Amazon SageMaker. لن يتأثَّر العملاء الذين يستخدمون الحاويات اللوغاريتمية الافتراضية من Amazon SageMaker أو حاويات إطار العمل للتدريب أو التوليف أو نقل الحزم أو نقاط النهاية. ولن يتأثَّر أيضًا العملاء الذين يشغِّلون مهام التسمية أو التحويل البرمجي. لن يتأثَّر العملاء الذين لا يستخدمون دفاتر ملاحظات Amazon SageMaker لتشغيل حاويات Docker. وبالإضافة إلى ذلك، تشتمل جميع دفاتر ملاحظات Amazon SageMaker التي تم إطلاقها في 11 فبراير أو بعدها مع مثيلات CPU على آخر التحديثات ولا يلزم أن يتَّخذ العميل أي إجراءات. تشتمل جميع مهام نقاط النهاية والتسمية والتدريب والتوليف والتحويل البرمجي ونقل الحزم التي تم إطلاقها في 11 فبراير أو بعدها على آخر التحديثات ولا يلزم أن يتَّخذ العميل أي إجراءات.
تُوصي AWS بأن العملاء الذين يشغِّلون مهام التدريب والتوليف ونقل الحزم باستخدام رمز مخصص تم إنشاؤه قبل 11 فبراير يجب عليهم إيقاف مهامهم وإعادة تشغيلها لتضمين آخر تحديث. يمكن تنفيذ هذه الإجراءات من وحدة تحكم Amazon SageMaker أو عن طريق اتباع التعليمات الموجودة هنا.
تحدِّث Amazon SageMaker تلقائيًا جميع نقاط النهاية المضمَّنة في الخدمة إلى أحدث البرامج كل أربعة أسابيع. من المتوقع تحديث جميع نقاط النهاية التي تم إنشاؤها قبل 11 فبراير بحلول 11 مارس. إذا كانت توجد أي مشكلات بشأن التحديثات التلقائية ويجب على العملاء اتِّخاذ الإجراءات لتحديث نقاط النهاية، فستنشر Amazon SageMaker إخطارًا في لوحة معلومات السلامة الشخصية الخاصة بالعملاء. يستطيع العملاء الذين يريدون تحديث نقاط النهاية مبكرًا تحديثها يدويًا من وحدة تحكم Amazon SageMaker أو عن طريق استخدام إجراء واجهة برمجة تطبيقات تحديث نقاط النهاية في أي وقت. نُوصي بأن يتَّخذ العملاء الذين لديهم نقاط النهاية مع تمكين تغيير الحجم التلقائي الإجراءات الاحتياطية الإضافية للتعليمات التالية الموجودة هنا.
تُوصي AWS بأن العملاء الذين يشغِّلون حاويات Docker في دفاتر ملاحظات Amazon SageMaker الذي يتم تشغيلها مع مثيلات CPU يجب عليهم إيقاف مثيلات دفاتر ملاحظات Amazon SageMaker وإعادة تشغيلها للحصول على أحدث البرامج المتوفرة. ويمكن إجراء ذلك من وحدة تحكم Amazon SageMaker. وبدلاً من ذلك، يستطيع العملاء أولاً إيقاف مثيل دفتر الملاحظات باستخدام واجهة برمجة تطبيقات إيقاف مثيل دفتر الملاحظات ثم إعادة تشغيل مثيل دفتر الملاحظات باستخدام واجهة برمجة تطبيقات إعادة تشغيل مثيل دفتر الملاحظات.
سيتوفر إصدار محدَّث من دفاتر ملاحظات Amazon SageMaker ذات مثيلات GPU للعملاء بعد فترة وجيزة من إصدار تصحيحات Nvidia. سيتم تحديث هذه النشرة عندما يتوفر إصدار محدَّث. يستطيع العملاء الذين يشغِّلون حاويات Docker في دفاتر الملاحظات ذات مثيلات GPU اتِّخاذ الإجراءات الوقائية عن طريق إيقاف مثيلات دفاتر الملاحظات مؤقتًا عبر وحدة التحكم، أو عن طريق استخدام واجهة برمجة تطبيقات إيقاف مثيل دفتر الملاحظات ثم إعادة تشغيل مثيل دفتر الملاحظات باستخدام إعادة تشغيل مثيل دفتر الملاحظات بمجرد توافر الإصدار المحدَّث.
AWS RoboMaker
يتوفر إصدار محدَّث من بيئة تطوير AWS RoboMaker. ستستخدم بيئات التطوير الجديدة أحدث إصدار. وكأفضل ممارسة أمنية عامة، تُوصي AWS بأن العملاء الذين يستخدمون بيئات تطوير RoboMaker يجب عليهم استمرار تحديث بيئات Cloud9 إلى أحدث إصدار.
يتوفر إصدار محدَّث من AWS IoT GreenGrass core. يجب على جميع العملاء الذين يستخدمون إدارة أسطول RoboMaker ترقية GreenGrass core إلى الإصدار 1.7.1. يمكن العثور على التعليمات حول الترقية اللاسلكية هنا.
AMI الخاصة بخدمة AWS للتعلم العميق
تتوفر الإصدارات المحدَّثة من Base AMI للتعلم العميق وAMI للتعلم العميق لـ Amazon Linux في AWS Marketplace. تُوصي AWS بأن العملاء الذين قد استخدموا Docker مع AMI للتعلم العميق أو Base AMI للتعلم العميق يجب عليهم إطلاق مثيلات جديدة من أحدث إصدارات AMI (v21.1 لـ AMI للتعلم العميق وv16.1 لـ Base AMI للتعلم العميق في Amazon Linux). تتوفر المعلومات الإضافية في مركز أمان Amazon Linux. تُوصي AWS أيضًا بأن يبقى العملاء على اطِّلاع على نشرة الأمن من Nvidia للحصول على التحديثات إلى nvidia-docker2 والمنتجات ذات الصلة.
تُوصي AWS بأن العملاء الذين استخدموا Docker مع AMI للتعلم العميق أو Base AMI للتعلم العميق في Ubuntu يجب عليهم إطلاق المثيلات الجديدة من أحدث إصدارات AMI واتباع هذه التعليمات لترقية Docker (تأكد من اتباع جميع خطوات التثبيت):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
سُتحدِّث أيضًا هذه التعليمات nvidia-docker2 تلقائيًا. سيتوفر الإصدار المحدَّث من Base AMI للتعلم العميق وAMI للتعلم العميق من أجل Ubuntu للتنزيل بعد إصدار جميع تصحيحات الأمن ذات الصلة. وسيتم تحديث هذه النشرة عندما تتوفر AMI المحدَّثة.