您当前查看的是此安全公告的较早版本。如需查看最新版本,请访问:“容器安全问题 (CVE-2019-5736)”。

太平洋标准时间 2019 年 2 月 11 日晚上 11:00

CVE 标识符:CVE-2019-5736

AWS 注意到最近披露的安全问题,该问题影响了多个开源容器管理系统 (CVE-2019-5736)。除了下面列出的 AWS 服务外,客户无需执行任何操作即可解决此问题。

Amazon Linux

现已提供适用于 Amazon Linux 2 Extras 存储库和 Amazon Linux AMI 2018.03 存储库 (ALAS-2019-1156) 的更新版 Docker (docker-18.06.1ce-7.amzn2)。AWS 建议在 Amazon Linux 中使用 Docker 的客户从最新的 AMI 版本启动新实例。有关更多信息,请访问 Amazon Linux 安全中心

Amazon Elastic Container Service (Amazon ECS)

现已推出 Amazon ECS 优化型 AMI,包括 Amazon Linux AMIAmazon Linux 2 AMIGPU 优化型 AMI。作为一般的安全最佳实践,我们建议 ECS 客户更新其配置以从最新 AMI 版本启动新的容器实例。客户应使用新的 AMI 版本替换现有的容器实例,以解决上述问题。有关替换现有容器实例的说明,请参阅 Amazon Linux AMIAmazon Linux 2 AMIGPU 优化型 AMI 的 ECS 文档。

建议未使用 ECS 优化型 AMI 的 Linux 客户咨询操作系统、软件或 AMI 的供应商,以获得所需的更新和说明。有关 Amazon Linux 的说明,请访问 Amazon Linux 安全中心

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

AWS Marketplace 中提供了更新的 Amazon EKS 优化型 AMI。作为一般的安全最佳实践,我们建议 EKS 客户更新其配置以从最新 AMI 版本启动新的工作节点。客户应使用新的 AMI 版本替换现有的工作节点,以解决上述问题。有关如何更新工作节点的说明,请参阅 EKS 文档

未使用 EKS 优化型 AMI 的 Linux 客户应联系其操作系统供应商以获取解决这些问题所需的更新。有关 Amazon Linux 的说明,请访问 Amazon Linux 安全中心

AWS Fargate

现已提供适用于平台版本 1.3 的更新版 Fargate,它可缓解 CVE-2019-5736 中描述的问题。旧平台版本(1.0.0、1.1.0、1.2.0)的修补版本将于 2019 年 3 月 15 日前提供。

运行 Fargate 服务的客户应调用启用了“--force-new-deployment”的 UpdateService,以在最新的平台版本 1.3 上启动所有新任务。运行独立任务的客户应终止现有任务,然后使用最新版本重新启动任务。有关具体说明,请参阅 Fargate 更新文档

所有未升级到修补版本的任务都将于 2019 年 4 月 19 日前停用。使用独立任务的客户必须启动新任务以替换已停用的任务。有关更多详细信息,请参阅 Fargate 任务停用文档

AWS IoT Greengrass

现已提供适用于版本 1.7.1 和 1.6.1 的更新版 AWS IoT GreenGrass Core。这些更新版需要 Linux 内核版本 3.17 或更高版本中提供的功能。有关如何更新内核的说明,请参阅此处

作为一般的安全最佳实践,我们建议运行任何 GreenGrass Core 版本的客户升级到版本 1.7.1。有关无线更新的说明,请参阅此处

AWS Batch

现已提供可用作默认计算环境 AMI 的更新版 Amazon ECS 优化型 AMI。 作为一般的安全最佳实践,我们建议 Batch 客户使用最新的 AMI 替换现有的计算环境。Batch 产品文档中提供了有关替换计算环境的说明。

未使用默认 AMI 的 Batch 客户应联系其操作系统供应商以获取解决这些问题所需的更新。Batch 产品文档中提供了有关 Batch 自定义 AMI 的说明。

AWS Elastic Beanstalk

AWS Elastic Beanstalk 基于 Docker 的平台版本已提供更新版。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本,而无需执行任何操作。客户还可以转到“Managed Updates”配置页面并单击“Apply Now”按钮,以立即更新。未启用托管平台更新的客户可以按照此处的说明更新其环境的平台版本。

AWS Cloud9

现已提供包含 Amazon Linux 的 AWS Cloud9 环境的更新版本。默认情况下,客户将在首次启动时应用安全补丁。目前具有基于 EC2 的 AWS Cloud9 环境的客户应从最新 AWS Cloud9 版本启动新实例。有关更多信息,请访问 Amazon Linux 安全中心

使用并非通过 Amazon Linux 构建的 SSH 环境的 AWS Cloud9 客户应联系其操作系统供应商,以获取解决这些问题所需的更新。

AWS SageMaker

现已提供 Amazon SageMaker 的更新版本。将 Amazon SageMaker 的默认算法容器或框架容器用于训练、调优、批量转换或终端节点的客户将不受影响。运行标记或编译作业的客户也不会受到影响。未使用 Amazon SageMaker 笔记本运行 Docker 容器的客户将不受影响。此外,2 月 11 日或之后通过 CPU 实例启动的所有 Amazon SageMaker 笔记本都包含最新更新,客户无需执行任何操作。2 月 11 日或之后启动的所有终端节点、标记、训练、调优、编译和批量转换作业都包含最新更新,客户无需执行任何操作。

AWS 建议使用 2 月 11 日之前创建的自定义代码来运行训练、调优和批量转换作业的客户停止并重新启动其作业,以包含最新更新。可从 Amazon SageMaker 控制台或按照此处的说明执行这些操作。

Amazon SageMaker 每四周自动将投入使用的所有终端节点更新为最新软件。在 2 月 11 日之前创建的所有终端节点预计将于 3 月 11 日之前更新。如果自动更新存在任何问题,并且要求客户执行相关操作来更新其终端节点,Amazon SageMaker 将在客户的 Personal Health Dashboard 中发布通知。希望更快地更新其终端节点的客户可以随时从 Amazon SageMaker 控制台或通过使用 UpdateEndpoint API 操作来手动更新其终端节点。我们建议拥有启用了自动扩展功能的终端节点的客户按照此处的说明采取其他预防措施。

AWS 建议在运行有 CPU 实例的 Amazon SageMaker 笔记本中运行 Docker 容器的客户停止并重新启动其 Amazon SageMaker 笔记本实例,以获取最新的可用软件。可从 Amazon SageMaker 控制台完成此操作。或者,客户可以先使用 StopNotebookInstance API 停止笔记本实例,然后再使用 StartNotebookInstance API 启动笔记本实例。

具有 GPU 实例的 Amazon SageMaker 笔记本的更新版本将会在 Nvidia 补丁发布后不久向客户提供。当有可用的更新版本时,我们将更新此公告。在具有 GPU 实例的笔记本上运行 Docker 容器的客户可以采取预防措施,方法是通过控制台或者使用 StopNotebookInstance API 来临时停止其笔记本实例,然后在更新版本可用时使用 StartNotebookInstance 启动笔记本实例。

AWS RoboMaker

现已提供 AWS RoboMaker 开发环境的更新版本。新开发环境将使用最新版本。作为一般的安全最佳实践,AWS 建议使用 RoboMaker 开发环境的客户始终将其 Cloud9 环境更新为最新版本。

现已提供 AWS IoT GreenGrass Core 的更新版本。使用 RoboMaker 队列管理的所有客户都应将 GreenGrass Core 升级到版本 1.7.1。有关无线升级的说明,请参阅此处

AWS Deep Learning AMI

AWS Marketplace 中提供了适用于 Amazon Linux 的 Deep Learning Base AMI 和 Deep Learning AMI 更新版本。AWS 建议已将 Docker 与 Deep Learning AMI 或 Deep Learning Base AMI 配合使用的客户启动最新 AMI 版本(对于 Amazon Linux 上的 Deep Learning AMI 为 v21.1,对于 Amazon Linux 上的 Deep Learning Base AMI 为 v16.1)的新实例。有关更多信息,请访问 Amazon Linux 安全中心。AWS 同时建议客户留意 Nvidia 的安全公告,以获取 nvidia-docker2 和相关产品的更新。

AWS 建议在 Ubuntu 上将 Docker 与 Deep Learning AMI 或 Deep Learning Base AMI 配合使用的客户启动最新 AMI 版本的新实例,并按照上述说明升级 Docker(确保遵循所有安装步骤):

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

按照这些说明操作还将会自动更新 nvidia-docker2。在所有相关的安全补丁发布之后,客户将能下载适用于 Ubuntu 的 Deep Learning Base AMI 和 Deep Learning AMI 更新版本。当更新版本的 AMI 可用时,我们将更新此公告。