CVE 标识符:CVE-2020-8558

这是针对此问题的更新。

AWS 注意到最近由 Kubernetes 社区披露的一个安全问题,它影响 Linux 容器联网 (CVE-2020-8558)。此问题可能允许在同一主机或相邻主机(在同一 LAN 或第 2 层域中运行的主机)上运行的容器访问绑定到 localhost (127.0.0.1) 的 TCP 和 UDP 服务。

用于使 Amazon ECS 和 Amazon EKS 客户保持隔离的所有 AWS 安全控件均可继续正常工作。此问题不存在跨账户数据访问的风险。一台主机上的容器内进程可获得对同一主机或同一 VPC 和子网内其他主机上的其他容器的意外网络访问权限。客户需要执行相关操作,https://github.com/aws/containers-roadmap/issues/976 上提供了用于立即缓解此问题的步骤。所有 Amazon ECS 和 Amazon EKS 客户都应更新到最新的 AMI。

AWS Fargate
AWS Fargate 不受影响。客户无需执行任何操作。

Amazon Elastic Container Service (Amazon ECS)
现已推出 Amazon ECS 优化型 AMI 的更新版本。作为一般的安全最佳实践,我们建议 ECS 客户更新其配置以从最新 AMI 版本启动新的容器实例。

客户可以参考 ECS 文档来升级其 AMI。

Amazon Elastic Kubernetes Service (Amazon EKS)
现已推出 Amazon EKS 优化型 AMI 的更新版本。作为一般的安全最佳实践,我们建议 EKS 客户更新其配置以从最新 AMI 版本启动新的工作节点。

使用托管节点组的客户可以参考 EKS 文档来升级其节点组。使用自托管工作节点的客户应通过参考 EKS 文档将现有实例替换为新的 AMI 版本。 

CVE 标识符:CVE-2020-8558

您当前查看的是此安全公告的较早版本。

AWS 注意到最近由 Kubernetes 社区披露的一个安全问题,它影响 Linux 容器联网 (CVE-2020-8558)。此问题可能允许在同一或相邻主机(在同一 LAN 或第 2 层域中运行的主机)上运行的容器访问绑定到 localhost (127.0.0.1) 的 TCP 和 UDP 服务。

AWS Fargate 不受影响。客户无需执行任何操作。

用于使 Amazon ECS 和 Amazon EKS 客户保持隔离的所有 AWS 安全控件均可继续正常工作。此问题不存在跨账户数据访问的风险。一台主机上的容器内进程可获得对同一主机或同一 VPC 和子网内其他主机上的其他容器的意外网络访问权限。客户需要执行相关操作,https://github.com/aws/containers-roadmap/issues/976 上提供了用于立即缓解此问题的步骤

我们将发布适用于 Amazon ECS 和 Amazon EKS 的更新版 Amazon 系统映像,客户应在这些 AMI 可用时尽快进行更新。

AWS Fargate
AWS Fargate 不受影响。客户无需执行任何操作。

Amazon Elastic Container Service (Amazon ECS)
Amazon ECS 将于 2020 年 7 月 9 日发布更新版 ECS 优化型 AMI,其中包括 Amazon Linux AMI、Amazon Linux 2 AMI、GPU 优化型 AMI、ARM 优化型 AMI 和 Inferentia 优化型 AMI。执行更新以使用其中一个 AMI 可缓解该问题。当更新的 AMI 可用时,我们将更新此公告。

Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS 将于 2020 年 7 月 9 日发布更新版 EKS 优化型 AMI,其中包括适用于 Kubernetes 1.14、1.15 和 1.16 的 Amazon Linux 2 EKS 优化型 AMI 和 EKS 优化加速型 AMI。执行更新以使用其中一个 AMI 可缓解该问题。当更新的 AMI 可用时,我们将更新此公告。