太平洋标准时间 2019 年 2 月 13 日上午 9:00
CVE 标识符:CVE-2019-5736
AWS 注意到最近披露的安全问题,该问题影响了几个开源容器管理系统 (CVE-2019-5736)。除了下面列出的 AWS 服务外,客户无需执行任何操作即可解决此问题。
Amazon Linux
更新版本的 Docker (docker-18.06.1ce-7.amzn2) 适用于 Amazon Linux 2 Extras 存储库和 Amazon Linux AMI 2018.03 存储库 (ALAS-2019-1156)。AWS 建议在 Amazon Linux 中使用 Docker 的客户从最新的 AMI 版本启动新实例。有关更多信息,请访问 Amazon Linux 安全中心。
Amazon Elastic Container Service (Amazon ECS)
现已推出 Amazon ECS 优化型 AMI,包括 Amazon Linux AMI、Amazon Linux 2 AMI 和 GPU 优化型 AMI。作为一般的安全最佳实践,我们建议 ECS 客户更新其配置以从最新 AMI 版本启动新的容器实例。客户应使用新的 AMI 版本替换现有的容器实例,以解决上述问题。可以在 Amazon Linux AMI、Amazon Linux 2 AMI 和 GPU 优化型 AMI 的 ECS 文档中找到有关替换现有容器实例的说明。
建议未使用 ECS 优化型 AMI 的 Linux 客户咨询操作系统、软件或 AMI 的供应商,以获得所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux 安全中心。
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
AWS Marketplace 中提供了更新的 Amazon EKS 优化型 AMI。作为一般的安全最佳实践,我们建议 EKS 客户更新其配置以从最新 AMI 版本启动新的工作节点。客户应使用新的 AMI 版本替换现有的工作节点,以解决上述问题。可在 EKS 文档中找到有关如何更新工作节点的说明。
未使用 EKS 优化型 AMI 的 Linux 客户应联系其操作系统供应商以获取解决这些问题所需的更新。有关 Amazon Linux 的说明,请访问 Amazon Linux 安全中心。
AWS Fargate
更新版本的 Fargate 适用于平台版本 1.3,它可缓解 CVE-2019-5736 中描述的问题。旧平台版本(1.0.0、1.1.0、1.2.0)的修补版本将于 2019 年 3 月 15 日前提供。
运行 Fargate 服务的客户应调用启用了“--force-new-deployment”的 UpdateService,以在最新的平台版本 1.3 上启动所有新任务。运行独立任务的客户应终止现有任务,然后使用最新版本重新启动。可在 Fargate 更新文档中找到特定说明。
所有未升级到修补版本的任务都将于 2019 年 4 月 19 日前停用。使用独立任务的客户必须启动新任务以替换已停用的任务。可在 Fargate 任务停用文档中找到其他详细信息。
AWS IoT Greengrass
更新版本的 AWS IoT GreenGrass Core 适用于版本 1.7.1 和 1.6.1。该更新版本需要 Linux 内核版本 3.17 或更高版本中提供的功能。可在此处找到有关如何更新内核的说明。
作为一般的安全最佳实践,我们建议运行任何版本的 GreenGrass Core 的客户升级到版本 1.7.1。可在此处找到有关无线更新的说明。
AWS Batch
更新的 Amazon ECS 优化型 AMI 可用作默认计算环境 AMI。 作为一般的安全最佳实践,我们建议 Batch 客户使用最新的 AMI 替换现有的计算环境。Batch 产品文档中提供了有关替换计算环境的说明。
未使用默认 AMI 的 Batch 客户应联系其操作系统供应商以获取解决这些问题所需的更新。Batch 产品文档中提供了有关 Batch 自定义 AMI 的说明。
AWS Elastic Beanstalk
AWS Elastic Beanstalk 基于 Docker 的平台版本现已提供更新版。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本,他们无需执行任何操作。客户还可以转到“托管更新”配置页面并单击“立即应用”立即更新。未启用托管平台更新的客户可以按照此处的说明更新其环境的平台版本。
AWS Cloud9
已提供具有 Amazon Linux 的 AWS Cloud9 环境的更新版本。默认情况下,客户将在首次启动时应用安全补丁。具有基于 EC2 的现有 AWS Cloud9 环境的客户应从最新 AWS Cloud9 版本启动新实例。有关更多信息,请访问 Amazon Linux 安全中心。
使用并非通过 Amazon Linux 构建的 SSH 环境的 AWS Cloud9 客户应联系其操作系统供应商,以获取解决这些问题所需的更新。
AWS SageMaker
已提供更新版本的 Amazon SageMaker。将 Amazon SageMaker 的默认算法容器或框架容器用于培训、优化、批量转换或终端节点的客户将不受影响。运行标记或编译作业的客户也不会受到影响。未使用 Amazon SageMaker 笔记本运行 Docker 容器的客户将不受影响。2 月 11 日或之后推出的所有终端节点、标记、培训、优化、编译和批量转换作业都包含最新更新,客户无需执行任何操作。2 月 11 日或之后推出的所有 Amazon SageMaker 笔记本(具有 CPU 实例),以及于太平洋时间 2 月 13 日 18:00 或之后推出的所有 Amazon SageMaker 笔记本(具有 CPU 实例)都包含最新更新,客户无需执行任何操作。
AWS 建议使用 2 月 11 日之前创建的自定义代码来运行培训、优化和批量转换作业的客户停止并重新启动其作业,以包含最新更新。可从 Amazon SageMaker 控制台或按照此处的说明执行这些操作。
Amazon SageMaker 每隔四周自动将投入使用的所有终端节点更新为最新软件。在 2 月 11 日之前创建的所有终端节点预计将于 3 月 11 日之前更新。如果自动更新存在任何问题,并且要求客户执行相关操作来更新其终端节点,Amazon SageMaker 将在客户的 Personal Health Dashboard 中发布通知。希望更快地更新其终端节点的客户可以随时从 Amazon SageMaker 控制台或通过使用 UpdateEndpoint API 操作来手动更新其终端节点。我们建议拥有启用了自动扩展功能的终端节点的客户按照此处的说明采取其他预防措施。
AWS 建议在 Amazon SageMaker 笔记本中运行 Docker 容器的客户停止并重新启动其 Amazon SageMaker 笔记本实例,以获取最新的可用软件。可从 Amazon SageMaker 控制台完成此操作。或者,客户可以先使用 StopNotebookInstance API 停止笔记本实例,然后再使用 StartNotebookInstance API 启动笔记本实例。
AWS RoboMaker
已提供更新版本的 AWS RoboMaker 开发环境。新开发环境将使用最新版本。作为一般的安全最佳实践,AWS 建议使用 RoboMaker 开发环境的客户将其 Cloud9 环境更新为最新版本。
已提供更新版本的 AWS IoT GreenGrass Core。使用 RoboMaker 队列管理的所有客户都应将 GreenGrass Core 升级到版本 1.7.1。可在此处找到有关无线升级的说明。
AWS Deep Learning AMI
AWS Marketplace 中提供了适用于 Amazon Linux 和 Ubuntu 的 Deep Learning Base AMI 和 Deep Learning AMI 的更新版本。AWS 建议已将 Docker 与 Deep Learning AMI 或 Deep Learning Base AMI 配合使用的客户启动最新 AMI 版本的新实例(对于 Amazon Linux 和 Ubuntu 上的 Deep Learning AMI 为 v21.2 或更高版本,对于 Amazon Linux 上的 Deep Learning Base AMI 为 v16.2 或更高版本,并且对于 Ubuntu 上的 Deep Learning Base AMI 为 v15.2 或更高版本)。有关其他信息,请访问 Amazon Linux 安全中心。