您查看的是此安全公告的较早版本。如需查看最新版本,请访问:“容器安全问题 (CVE-2019-5736)”。
太平洋标准时间 2019 年 2 月 11 日上午 7:00
CVE 标识符:CVE-2019-5736
AWS 注意到最近披露的安全问题,该问题影响了几个开源容器管理系统 (CVE-2019-5736)。除了下面列出的 AWS 服务外,客户无需执行任何操作即可解决此问题。
Amazon Linux
更新版本的 Docker 适用于 Amazon Linux 2 (ALAS-2019-1156) 和 Amazon Linux AMI 2018.03 存储库 (ALAS-2019-1156)。AWS 建议在 Amazon Linux 中使用 Docker 的客户从最新的 AMI 版本启动新实例。有关更多信息,请访问 Amazon Linux 安全中心。
Amazon Elastic Container Service (Amazon ECS)
将于 2019 年 2 月 11 日推出更新的 Amazon ECS 优化型 AMI,包括 Amazon Linux AMI、Amazon Linux 2 AMI 和 GPU 优化型 AMI。当更新的 AMI 可用时,我们将更新此公告。作为一般的安全最佳实践,我们建议 ECS 客户更新其配置以从最新 AMI 版本启动新的容器实例。客户应使用新的 AMI 版本替换现有的容器实例,以解决上述问题。可以在 Amazon Linux AMI、Amazon Linux 2 AMI 和 GPU 优化型 AMI 的 ECS 文档中找到有关操作方法的说明。
建议未使用 ECS 优化型 AMI 的 Linux 客户咨询备选/第三方操作系统、软件或 AMI 的供应商,以获取所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux 安全中心。
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
将于 2019 年 2 月 11 日推出更新的 Amazon EKS 优化型 AMI。当更新的 AMI 可用时,我们将更新此公告。作为一般的安全最佳实践,我们建议 EKS 客户更新其配置以从最新 AMI 版本启动新的工作节点。客户应使用新的 AMI 版本替换现有的工作节点,以解决上述问题。可在 EKS 文档中找到有关如何更新工作节点的说明。
未使用 EKS 优化型 AMI 的 Linux 客户应联系其操作系统供应商以获取解决这些问题所需的更新。有关 Amazon Linux 的说明,请访问 Amazon Linux 安全中心。
AWS Fargate
更新版本的 Fargate 适用于平台版本 1.3,它可缓解 CVE-2019-5736 中描述的问题。旧平台版本(1.0.0、1.1.0、1.2.0)的修补版本将于 2019 年 3 月 15 日前提供。
运行 Fargate 服务的客户应调用启用了“--force-new-deployment”的 UpdateService,以在最新的平台版本 1.3 上启动所有新任务。运行独立任务的客户应终止现有任务,然后使用最新版本重新启动。可在 Fargate 更新文档中找到特定说明。
所有未升级到修补版本的任务都将于 2019 年 4 月 19 日前停用。使用独立任务的客户必须启动新任务以替换已停用的任务。可在 Fargate 任务停用文档中找到其他详细信息。
AWS IoT Greengrass
更新版本的 AWS IoT Greengrass Core 将于 2019 年 2 月 11 日推出。当修补版本可用时,将更新此公告。该更新版本需要 Linux 内核版本 3.17 或更高版本中提供的功能。可在此处找到有关如何更新内核的说明。
作为一般的安全最佳实践,我们建议运行任何版本的 Greengrass Core 的客户升级到版本 1.7.1。可在此处找到有关无线更新的说明。
AWS Batch
更新的 Amazon ECS 优化型 AMI 将于 2019 年 2 月 11 日作为默认计算环境 AMI 推出。当 AMI 可用时,我们将更新此公告。作为一般的安全最佳实践,我们建议 Batch 客户使用所提供的最新 AMI 来替换现有的计算环境。如果 Batch 客户需要立即更新,建议他们在创建计算环境时使用最新的 ECS 优化型 AMI 覆盖默认 AMI。Batch 产品文档中提供了有关替换计算环境的说明。
未使用默认 AMI 的 Batch 客户应联系其操作系统供应商以获取解决这些问题所需的更新。Batch 产品文档中提供了有关 Batch 自定义 AMI 的说明。
AWS Elastic Beanstalk
AWS Elastic Beanstalk 基于 Docker 的平台将于 2019 年 2 月 11 日提供更新版本。当新平台版本可用时,我们将更新此公告。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本,他们无需执行任何操作。客户还可以转到“托管更新”配置页面并单击“立即应用”立即更新。未启用托管平台更新的客户可以按照此处的说明更新其环境的平台版本。
AWS Cloud9
已提供具有 Amazon Linux 的 AWS Cloud9 环境的更新版本。默认情况下,客户将在首次启动时应用安全补丁。具有基于 EC2 的现有 AWS Cloud9 环境的客户应从最新 AWS Cloud9 版本启动新实例。有关更多信息,请访问 Amazon Linux 安全中心。
使用并非通过 Amazon Linux 构建的 SSH 环境的 AWS Cloud9 客户应联系其操作系统供应商,以获取解决这些问题所需的更新。
AWS SageMaker
已提供更新版本的 Amazon SageMaker。将 Amazon SageMaker 的默认算法容器或框架容器用于培训、优化、批量转换或终端节点的客户将不受影响。运行标记或编译作业的客户也不会受到影响。未使用 Amazon SageMaker 笔记本运行 Docker 容器的客户将不受影响。此外,在 2 月 11 日或之后推出的所有 Amazon SageMaker 笔记本(具有 CPU 实例)都包含最新更新,客户无需执行任何操作。2 月 11 日或之后推出的所有终端节点、标记、培训、优化、编译和批量转换作业都包含最新更新,客户无需执行任何操作。
AWS 建议使用 2 月 11 日之前创建的自定义代码来运行培训、优化和批量转换作业的客户停止并重新启动其作业,以包含最新更新。可从 Amazon SageMaker 控制台或按照此处的说明执行这些操作。
Amazon SageMaker 每隔四周自动将投入使用的所有终端节点更新为最新软件。在 2 月 11 日之前创建的所有终端节点预计将于 3 月 11 日之前更新。如果自动更新存在任何问题,并且要求客户执行相关操作来更新其终端节点,Amazon SageMaker 将在客户的 Personal Health Dashboard 中发布通知。希望更快地更新其终端节点的客户可以随时从 Amazon SageMaker 控制台或通过使用 UpdateEndpoint API 操作来手动更新其终端节点。我们建议拥有启用了自动扩展功能的终端节点的客户按照此处的说明采取其他预防措施。
AWS 建议在运行 CPU 实例的 Amazon SageMaker 笔记本中运行 Docker 容器的客户停止并重新启动其 Amazon SageMaker 笔记本实例,以获取最新的可用软件。可从 Amazon SageMaker 控制台完成此操作。或者,客户可以先使用 StopNotebookInstance API 停止笔记本实例,然后再使用 StartNotebookInstance API 启动笔记本实例。
具有 GPU 实例的 Amazon SageMaker 笔记本的更新版本将会在 Nvidia 补丁发布后不久向客户提供。当有可用的更新版本时,我们将更新此公告。在具有 GPU 实例的笔记本上运行 Docker 容器的客户可以采取预防措施,方法是通过控制台或者使用 StopNotebookInstance API 来临时停止其笔记本实例,然后在更新版本可用时使用 StartNotebookInstance 启动笔记本实例。
AWS RoboMaker
AWS RoboMaker 开发环境的更新版本将会在 Canonical 和 Docker 发行补丁后不久提供。当更新可用时,我们将更新此公告。作为一般的安全最佳实践,AWS 建议使用 RoboMaker 开发环境的客户将其 Cloud9 环境更新为最新版本。
更新版本的 AWS IoT Greengrass Core 将于 2019 年 2 月 11 日推出。当更新版本可用时,我们将更新此公告。一旦更新版本的 Greengrass Core 可用,所有使用 RoboMaker 队列管理的客户都应将 Greengrass Core 升级到最新版本。客户应按照此处说明接收更新。
AWS Deep Learning AMI
AWS 建议已在 Amazon Linux 上将 Docker 与 Deep Learning AMI 或 Deep Learning Base AMI 配合使用的客户启动最新 AMI 版本的新实例,并运行以下命令以升级 Docker:
sudo yum upgrade docker
在发布所有相关的安全补丁之后,将开放下载 Deep Learning Base AMI 和 Deep Learning AMI 的更新版本。当新版 AMI 可用时,我们将更新此公告。
有关其他信息,请访问 Amazon Linux 安全中心。
针对 CVE-2019-5736 中概述的问题在 Ubuntu 上发布 Docker 更新之后,AWS 建议已在 Ubuntu 上将 Docker 与 Deep Learning AMI 或 Deep Learning Base AMI 配合使用的客户启动最新 AMI 版本的新实例,并按照此处说明升级 Docker(确保遵循所有安装步骤):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
AWS 同时建议客户留意 Nvidia 的安全公告,以获取 nvidia-docker2 和相关产品的更新。