发布日期:2024 年 1 月 31 日下午 1:30(太平洋标准时间)
CVE 标识符:CVE-2024-21626
AWS 注意到最近披露的安全问题,该问题影响了多个开源容器管理系统的 runc 组件(CVE-2024-21626)。除了下面列出的 AWS 服务外,客户无需执行任何操作即可解决此问题。
Amazon Linux
更新版本的 runc 可用于 Amazon Linux 1(runc-1.1.11-1.0.amzn1)、Amazon Linux 2(runc-1.1.11-1.1.amzn2)和 Amazon Linux 2023(runc-1.1.11-1.amzn2023)。AWS 建议使用 runc 或其他容器相关软件的客户应用这些更新或更高版本。有关更多信息,请访问 Amazon Linux 安全中心。
Bottlerocket OS
Runc 的更新版本将包含在 Bottlerocket 1.19.0 中,该版本将于 2024 年 2 月 2 日发布。AWS 建议使用 Bottlerocket 的客户应用此更新或更高版本。更多信息将在 Bottlerocket 安全公告和 Bottlerocket 发行说明中发布。
Amazon Elastic Container Service (ECS)
此 CVE 已在 runc 中进行了修补,runc 的更新版本 1.1.11-1 已作为 2024 年 1 月 31 日发布的最新 Amazon ECS 优化型亚马逊机器映像(AMI)的一部分推出。
我们建议 ECS 客户更新这些 AMI(或最新推出的版本)或执行“yum update —security”以获取此补丁。有关更多信息,请参阅“Amazon ECS 优化型 AMI”用户指南。
Amazon Elastic Kubernetes Services (EKS)
Amazon EKS 已发布了安装有容器运行时补丁的 EKS 优化型马逊机器映像(AMI)更新版本 v20240129。使用托管节点组的客户可以参考 EKS 文档来升级其节点组。使用 Karpenter 的客户可以按照有关偏差或 AMI 选择的文档来更新其节点。使用自行管理 Worker 节点的客户可以通过参考 EKS 文档来替换现有节点。
Amazon EKS Fargate 将在 2024 年 2 月 1 日之前为集群上的新容器组(pod)提供更新,并将显示以 eks-680e576 结尾的 Kubelet 版本。客户可以通过运行 kubectl get nodes 来验证其节点的版本。客户应删除现有的容器组(pod)才能在 2024 年 2 月 2 日之后收到补丁。有关删除和创建 Fargate 容器组(pod)的信息,请参阅“通过 Amazon EKS 开始使用 AWS Fargate”文档。
Amazon EKS Anywhere 已发布更新的映像版本 v0.18.6 以及已修补的容器运行时系统。客户可以参阅 EKS Anywhere“升级集群”文档,了解如何升级集群以使用已修补的虚拟机映像。
AWS Elastic Beanstalk
AWS Elastic Beanstalk 基于 Docker 和 ECS 的平台版本已提供更新版。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本,而无需执行任何操作。客户可以转到“托管更新”配置页面并单击“立即应用”按钮,以立即更新。尚未启用托管平台更新的客户可以按照“更新您的 Elastic Beanstalk 环境的平台版本”用户指南更新其环境的平台版本。
Finch
Finch 在最新版本 v1.1.0 中提供了更新版本的 runc。客户应升级在 macOS 上安装的 Finch 以解决此问题。Finch 版本可以通过项目的 GitHub 发布页面下载,如果您通过 Homebrew 安装了 Finch,也可以运行“brew update”来下载。
AWS Deep Learning AMI
受影响的 runc 软件包是我们的 Amazon Linux 2 Deep Learning AMI 的一部分。这个 runc 软件包取自 Amazon Linux 2 的上游版本。Deep Learning AMI 将在 Amazon Linux 团队提供最新的补丁包后自动使用该软件包。发布后,受影响的客户需要引入最新的 Deep Learning AMI 才能使用最新的 runc 更新来缓解问题。
AWS Batch
现已提供可用作默认计算环境 AMI 的更新版 Amazon ECS 优化型 AMI。作为一般的安全最佳实践,我们建议 Batch 客户使用最新的 AMI 替换现有的计算环境。Batch 产品文档中提供了有关替换计算环境的说明。
未使用默认 AMI 的 Batch 客户应联系其操作系统供应商以获取解决这些问题所需的更新。Batch 产品文档中提供了有关 Batch 自定义 AMI 的说明。
Amazon SageMaker
2024 年 2 月 2 日之后创建或重新启动的任何 SageMaker 资源(包括 SageMaker Notebook 实例、SageMaker 训练作业、SageMaker 处理作业、SageMaker 批量转换作业、SageMaker Studio 和 SageMaker Inference)都将自动使用该补丁。对于 SageMaker Inference,任何未重新创建的实时端点都将在 2024 年 2 月 7 日之前自动修补。
如有安全相关问题或疑虑,请通过 aws-security@amazon.com 与我们联系。