مُعرِّف CVE: CVE-2020-8558
هذا تحديث لتلك المشكلة.
AWS على دراية بمشكلة أمنية تم الكشف عنها مؤخرًا من قِبل مجتمع Kubernetes، حيث تؤثر هذه المشكلة على شبكة حاويات Linux (CVE-2020-8558). هذه المشكلة تتيح تشغيل الحاويات على نفس المضيف أو المضيفات المجاورة (المضيفات التي تعمل في نفس شبكة LAN أو مجال الطبقة 2) للوصول إلى خدمات TCP وUDP المقيدة بالمضيف المحلي (127.0.0.1).
جميع الضوابط الأمنية من AWS التي تحافظ على الفصل بين العملاء في Amazon ECS وAmazon EKS تواصل العمل بطريقة صحيحة. هذه المشكلة لا تمثل أي خطر على الوصول إلى البيانات عبر الحسابات. العمليات التي داخل إحدى الحاويات على أحد المضيفات قد تكون قادرة على كسب إمكانية وصول غير مقصودة إلى الشبكة إلى حاويات أخرى على نفس المضيف أو على مضيفات أخرى داخل السحابة الافتراضية الخاصة (VPC) نفسها والشبكة الفرعية. يلزم اتخاذ إجراء من قِبل العميل، والخطوات الخاصة بالتخفيف الفوري متوفرة على https://github.com/aws/containers-roadmap/issues/976. جميع عملاء Amazon ECS وAmazon EKS يجب عليهم التحديث إلى آخر إصدار من AMI.
AWS Fargate
AWS Fargate لا يتأثر. لا يلزم اتخاذ أي إجراء من جهة العملاء.
Amazon Elastic Container Service (Amazon ECS)
إصدارات Amazon ECS Optimized AMI المُحدثة متوفرة الآن. وكأفضل ممارسة أمنية عامة، نوصي عملاء ECS بتحديث تكويناتهم لإطلاق المثيلات الجديدة التي تعمل كحاويات مهام من أحدث إصدارات AMI.
يمكن للعملاء تحديث إصدارات AMI الخاصة بهم من خلال الرجوع إلى وثائق ECS .
Amazon Elastic Kubernetes Service (Amazon EKS)
تتوفر إصدارات AMI المُحدّثة المُحسّنة من قبل Amazon EKS الآن. وكأفضل ممارسة أمنية عامة، نوصي عملاء EKS بتحديث تكويناتهم لإطلاق عُقد العامل الجديدة من أحدث إصدارات AMI.
يمكن للعملاء الذين يستخدمون مجموعات العُقد المدارة أن يقوموا بترقية مجموعات العُقد الخاصة بهم من خلال الرجوع إلى وثائق EKS . يجب على العملاء الذين يديرون عُقد العامل ذاتيًا أن يستبدلوا المثيلات الحالية بإصدار جديد من AMI من خلال الرجوع إلى وثائق EKS .
مُعرِّف CVE: CVE-2020-8558
أنت تستعرض إصدارًا سابقًا من نشرة الأمان هذه.
AWS على دراية بمشكلة أمنية تم الكشف عنها مؤخرًا من قِبل مجتمع Kubernetes، حيث تؤثر هذه المشكلة على شبكة حاويات Linux (CVE-2020-8558). هذه المشكلة تتيح تشغيل الحاويات على نفس المضيف أو على المضيفات المجاورة (المضيفات التي تعمل في نفس شبكة LAN أو مجال الطبقة 2) للوصول إلى خدمات TCP وUDP المقيدة بالمضيف المحلي (127.0.0.1).
AWS Fargate لا يتأثر. لا يلزم اتخاذ أي إجراء من جهة العملاء.
جميع الضوابط الأمنية من AWS التي تحافظ على الفصل بين العملاء في Amazon ECS وAmazon EKS تواصل العمل بطريقة صحيحة. هذه المشكلة لا تمثل أي خطر على الوصول إلى البيانات عبر الحسابات. العمليات التي داخل إحدى الحاويات على أحد المضيفات قد تكون قادرة على كسب إمكانية وصول غير مقصودة إلى الشبكة إلى حاويات أخرى على نفس المضيف أو على مضيفات أخرى داخل السحابة الافتراضية الخاصة (VPC) نفسها والشبكة الفرعية. يلزم اتخاذ إجراء من قِبل العميل، والخطوات الخاصة بالحد الفوري متوفرة على: https://github.com/aws/containers-roadmap/issues/976
سنقوم بإصدار صور Amazon Machine Image لكل من Amazon ECS وAmazon EKS ويجب على العملاء التحديث إلى إصدارات AMI هذه فور توفرها.
AWS Fargate
AWS Fargate لم يتأثر. لا يلزم اتخاذ أي إجراء من جهة العملاء.
Amazon Elastic Container Service (Amazon ECS)
ستقوم Amazon ECS بطرح إصدارات ECS Optimized AMI المحدّثة بما في ذلك Amazon Linux AMI وAmazon Linux 2 AMI وGPU-Optimized AMI وARM-Optimized AMI وInferentia-Optimized AMI في 9 يوليو 2020. سيؤدي التحديث لاستخدام أحد إصدارات AMI هذه إلى التخفيف من المشكلة. سنقوم بتحديث هذه النشرة عند توفر إصدارات محدّثة من AMI.
Amazon Elastic Kubernetes Service (Amazon EKS)
تقوم Amazon EKS بطرح إصدارات EKS Optimized AMI المحدّثة بما في ذلك Amazon Linux 2 EKS-Optimized AMI وEKS-Optimized accelerated AMI لكل من Kubernetes 1.14 و1.15 و1.16 في 9 يوليو2020. سيؤدي التحديث لاستخدام أحد إصدارات AMI هذه إلى التخفيف من المشكلة. سنقوم بتحديث هذه النشرة عند توفر إصدارات محدّثة من AMI.