这是针对此问题的更新。
安装了 runC 补丁的 AWS IoT Greengrass Core V1(1.10.4 和 1.11.3)的二进制文件现在可供下载 (https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html)。Greengrass V2 Lambda Launcher v2.0.6 (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html) 更新版本也已在 AWS IoT 控制台中提供。我们建议 Greengrass 客户升级到最新的二进制文件和 Lambda 启动器,以便引入最新的 runC 补丁。
您当前查看的是此安全公告的较早版本。
AWS 注意到最近披露的 runC 安全问题,runC 是多个容器管理系统中的一个组件 (CVE-2021-30465)。除了下面列出的 AWS 服务外,客户无需执行任何操作即可解决此问题。
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS 已于 2021 年 5 月 21 日发布了针对 ECS 优化并安装有容器运行时补丁的 Amazon Machine Image (AMI) 更新版本。有关 ECS 优化型 AMI 的更多信息,请参阅 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html。
为了同时解决此问题,我们建议 ECS 客户执行 yum update --security 以获得此补丁。更多信息请参阅 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html。
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS 已发布了针对 EKS 优化并安装有容器运行时补丁的 Amazon Machine Image (AMI) 更新版本。有关经 EKS 优化的 AMI 的更多信息,请参阅 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html。
我们建议 EKS 客户更换所有工作线程节点,以使用最新的经 EKS 优化的 AMI 版本。有关更新工作线程节点的说明,请参阅 https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html。
Bottlerocket
Amazon 已发布了 Bottlerocket AMI 和就地更新。更新到最新版就地更新或将实例替换为最新版 AMI 将可解决此问题。
如果您使用的是 Bottlerocket Update Operator for Kubernetes,则预计节点将在一天内开始更新,所有节点在一周内完成。客户可通过以下两个 API 调用,以手动方式更快地完成升级:apiclient set updates.ignore-waves=true 和 apiclient update apply --check --reboot。当更新完成后,使用 apiclient set updates.ignore-waves=false 恢复为默认设置。
Amazon Linux 和 Amazon Linux 2
现已提供适用于 Amazon Linux 2 extras 存储库 (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) 和 Amazon Linux AMI 2018.03 存储库的更新版 runc (*runc-1.0.0-0.2.20210225.git12644e6.3.amzn1*)。AWS 建议客户在 Amazon Linux 中使用容器更新到最新版本的 runc,并重新启动任何正在运行的容器。
AWS Cloud9
现已提供包含 Amazon Linux 的 AWS Cloud9 环境的更新版本。默认情况下,客户将在首次启动时应用安全补丁。目前具有基于 EC2 的 AWS Cloud9 环境的客户应从最新 AWS Cloud9 版本启动新实例。有关更多信息,请访问 Amazon Linux 安全中心 (https://alas.aws.amazon.com/)。
使用并非通过 Amazon Linux 构建的 SSH 环境的 AWS Cloud9 客户应联系其操作系统供应商,以获取解决这些问题所需的更新。
AWS IoT Greengrass
更新版 AWS IoT Greengrass Core V1 二进制文件和 Greengrass V2 Lambda Launcher 在 6 月 15 日之前将作为最新版 Greengrass 提供。当这些补丁可用时,我们将更新此公告。
在 Greengrass Core 设备上,Greengrass 使用 runC 库在符合 OCI 规范的容器内执行 Lambda 函数。部署到 Greengrass Core 的 Lambda 函数通过经过身份验证和授权的云 API、经过身份验证和授权的本地 CLI(如果已启用)或本地根访问权限提供给 Greengrass。这意味着 Greengrass 只会部署和执行用于预期用途的 Lambda 函数,并且信任的来源部署 Lambda 函数后,无需再执行任何操作。作为最佳实践,客户仅应部署来自可信源的 Lambda。
AWS Deep Learning AMI
AWS EC2 控制台和 AWS Marketplace 中提供了适用于 Amazon Linux 和 Amazon Linux2 的 Deep Learning Base AMI 和 Deep Learning AMI 的更新版本。AWS 建议已将 Docker 与 Deep Learning Base AMI 或 Deep Learning AMI 配合使用的客户启动最新 AMI 版本的新实例(对于 Amazon Linux 上的 Deep Learning Base AMI 为 v35.0 或更高版本,对于 Amazon Linux 2 上的 Deep Learning Base AMI 为 v38.0 或更高版本,对于 Amazon Linux 和 Amazon Linux 2 上的 Deep Learning Base AMI 为 v45.0 或更高版本)。有关更多信息,请访问 Amazon Linux 安全中心。
AWS Batch
在 AMI 更新后:
现已提供可用作默认计算环境 AMI 的更新版 Amazon ECS 优化型 AMI。我们建议 Batch 客户使用最新的 AMI 替换现有的计算环境。Batch 产品文档中提供了有关替换计算环境的说明
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments)。
未使用默认 AMI 的 Batch 客户应联系其操作系统供应商以获取解决这些问题所需的更新。关于批处理自定义 AMI 的说明可从批处理文档 (https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html) 中获得。
AWS Elastic Beanstalk
AWS Elastic Beanstalk 基于 Docker 的平台版本已提供更新版。我们建议客户转到 Managed Updates (托管更新) 配置页面并单击 Apply Now(立即应用)按钮,以立即进行更新。未启用托管平台更新的客户可以按照此处的说明更新其环境的平台版本。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本,而无需执行任何操作。还会提供发布说明。