公告 ID：AWS-2025-024
范围： AWS
内容类型： 重要提示（需要注意）
发布日期：2025 年 11 月 5 日上午 8:45（太平洋夏令时）

CVE 标识符：CVE-2025-31133、CVE-2025-52565、CVE-2025-52881

AWS 注意到近期披露的多个安全问题（CVE-2025-31133、CVE-2025-52565、CVE-2025-52881），这些问题会在启动新容器时影响多款开源容器管理系统的 runc 组件。AWS 不将容器视为安全边界，也不会利用容器将不同的客户隔离开来。这些问题不存在跨客户风险。强烈建议在自我管理的环境中使用容器隔离工作负载的 AWS 客户联系其操作系统供应商，获取必要的更新或指导以缓解这些问题引起的潜在风险。

除了下面列出的 AWS 服务外，客户无需执行任何操作即可解决此问题。作为最佳实践，AWS 始终建议您安装所有安全补丁和软件版本更新。

Amazon Linux

Amazon Linux 2（runc-1.3.2-2.amzn2）和 Amazon Linux 2023（runc-1.3.2-2.amzn2023.0.1）将提供 runc 更新版本。AWS 建议使用 Amazon Linux 2 或 Amazon Linux 2023 的客户将 runc 版本至少更新至 1.3.2-2。有关更多信息，请访问 Amazon Linux 安全中心。

Bottlerocket

runc 的更新版本将包含在 Bottlerocket 1.50.0 中，该版本将于 2025 年 11 月 5 日发布。AWS 建议使用 Bottlerocket 的客户应用此更新。更多信息将在 Bottlerocket 发行说明中发布。

Amazon Elastic Container Service（ECS）

Amazon ECS 将于 2025 年 11 月 5 日发布更新后的 Amazon ECS 优化型亚马逊机器映像（AMI），版本号为 20251031。此更新版本包括新的 runc 版本（版本 1.3.2-2）。建议使用 EC2 上的 ECS 实例的客户升级至这些最新 AMI，或者执行“yum update -security”以获取安全补丁。有关更多信息，请参阅 Amazon ECS 优化型 AMI 用户指南。

2025 年 11 月 5 日之后启动的所有 Amazon ECS Fargate 任务将自动包含更新后的 runc 版本。客户无需执行任何操作。

Amazon ECS 托管实例将于 2025 年 11 月 5 日发布包含 runc 更新版本的新 AMI。ECS 将阻止新任务调度到现有容器实例，相反，所有新任务都将部署在使用新 AMI（含 runc 更新版本）的新容器实例上。客户无需执行任何操作。

Amazon Elastic Kubernetes Service（EKS）

Amazon EKS 将于 2025 年 11 月 5 日发布更新后的 EKS 自动模式 AMI，其中包含已修补的容器运行时。设置为默认漂移配置的自动模式 NodePools 将自动开始升级至已修补的 AMI。已实施节点中断控制的节点将在首次启动后的 21 天内升级。要立即升级您的节点，可将其删除以强制执行即时替换。客户可通过运行 kubectl get node -o wide 并查看“操作系统映像”字段来验证节点是否运行经过修补的 AMI。经过修补的节点将显示 2025.11.01 或更新的日期（例如，Bottlerocket（EKS Auto、Standard）2025.11.01（aws-k8s-1.34-standard））。

Amazon EKS 将于 2025 年 11 月 5 日发布更新后的 EKS 优化型 AL2/AL2023 亚马逊机器映像（AMI）版本 v20251103，其中包括经过修补的容器运行时。EKS Bottlerocket AMI 1.50.0 也包含经过修补的容器运行时。使用托管节点组的客户可以参考 EKS 文档来升级其节点组。使用 Karpenter 的客户可以按照有关漂移或 AMI 选择的文档来更新其节点。使用自行管理 Worker 节点的客户可以通过参考 EKS 文档来替换现有节点。

2025 年 11 月 5 日起，新集群或现有集群中的新容器组（pod）将使用 Amazon EKS Fargate 的更新版本。客户必须删除现有 Amazon EKS Fargate 容器组（pod）以使用经过修补的运行时。客户可以通过运行 kubectl get 节点来验证其节点是否使用以 eks-3cfe0ce 结尾的 kubelet 版本进行了修补。有关删除和创建 Fargate 容器组（pod）的信息，请参阅通过 Amazon EKS 开始使用 AWS Fargate 文档。

Amazon EKS Anywhere 将于 2025 年 11 月 6 日发布 v0.24.0 和 0.23.5 版本，包含经过修补的 runc（版本 1.3.2-2）。客户可以查阅 EKS Anywhere 集群升级文档，了解如何升级集群以使用修复后的虚拟机映像。

AWS Elastic Beanstalk

2025 年 11 月 5 日将推出 AWS Elastic Beanstalk 基于 Docker 和 ECS 的平台版本的更新版。使用托管平台更新的客户将在其所选的维护时段内自动更新到最新平台版本，而无需执行任何操作。客户还可以转到“托管更新”配置页面并单击“立即应用”按钮，以立即更新。未启用托管平台更新的客户可以按照文档中的说明更新其环境的平台版本。

Finch

2025 年 11 月 5 日将在适用于 macOS 和 Windows 平台的 Finch 的最新版本（v1.13.0）中提供 runc 更新版本。客户应升级在 macOS 和 Windows 上安装的 Finch 以解决此问题。Finch 版本可以通过项目的 GitHub 发布页面下载，如果您通过 Homebrew 安装了 Finch，也可以运行“brew update”来下载。更新后，需要通过移除虚拟机并进行新的初始化（init）来重新初始化虚拟机。

AWS Deep Learning AMI

2025 年 11 月 5 日将推出更新后的 Amazon Linux 2 和 Amazon Linux 2023 深度学习 AMI。建议客户升级至最新 AMI 版本（如果有）。

AWS Batch

作为一般的安全最佳实践，我们建议 Batch 客户在最新 AMI 发布后，使用该 AMI 来替换现有计算环境。Batch 产品文档中提供了有关替换计算环境的说明。2025 年 11 月 12 日将推出更新后的 Amazon ECS 和 EKS 优化型 AMI，并作为默认计算环境 AMI。

未使用默认 AMI 的 Batch 客户应联系其操作系统供应商以获取解决这些问题所需的更新。Batch 产品文档中提供了有关 Batch 自定义 AMI 的说明。

Amazon SageMaker

2025 年 11 月 7 日之后创建或重启的所有 SageMaker 资源都将自动包含经过修补的 runc 版本。其中包括 SageMaker Notebook 实例、SageMaker 训练作业、SageMaker 处理作业、SageMaker 批量转换作业、SageMaker Studio 和 SageMaker 推理。AWS 将在 AWS Deep Learning AMI 和 Amazon Linux AMI 发布后，开始修补 2025 年 11 月 7 日之前创建的现有 SageMaker 资源。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。