13. Februar 2019, 21.00 Uhr PST
CVE-Kennung: CVE-2019-5736
AWS ist über das kürzlich bekannt gewordene Sicherheitsproblem informiert, das sich auf mehrere Open-Source-Container-Management-Systeme auswirkt (CVE-2019-5736). Mit Ausnahme der unten genannten AWS-Services brauchen Kunden nichts tun, um das Problem zu beheben.
Amazon Linux
Eine aktualisierte Version von Docker (docker-18.06.1ce-7.amzn2) ist für Amazon Linux 2 extras-Repositorys sowie Amazon Linux-AMI 2018.03-Repositorys verfügbar (ALAS-2019-1156). AWS empfiehlt Kunden, die Docker in Amazon Linux verwenden, neue Instances über die aktuellste AMI-Version zu starten. Weitere Informationen erhalten Sie im Amazon Linux-Sicherheitszentrum.
Amazon Elastic Container Service (Amazon ECS)
Für Amazon ECS optimierte AMIs, einschließlich des Amazon Linux-AMI, des Amazon Linux 2-AMI und des GPU-optimierten AMI, sind jetzt verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir ECS-Kunden, ihre Konfigurationen zu aktualisieren, damit neue Container-Instances über die aktuellste AMI-Version gestartet werden. Kunden sollten vorhandene Container-Instances mit der neuen AMI-Version ersetzen, um das oben genannte Problem zu beheben. Eine Anleitung zum Ersetzen bestehender Container-Instances finden Sie in der ECS-Dokumentation für das Amazon Linux-AMI, das Amazon Linux 2-AMI und das GPU-optimierte AMI.
Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, wenden sich bitte für Updates und Anweisungen an den Anbieter ihres Betriebssystems, ihrer Software oder ihres AMI. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux-Sicherheitszentrum.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Ein aktualisiertes, für Amazon EKS optimiertes AMI ist im AWS Marketplace verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir EKS-Kunden, ihre Konfigurationen zu aktualisieren, um neue Worker-Knoten über die aktuellste AMI-Version zu starten. Um das oben genannte Problem zu beheben, sollten Kunden bereits vorhandene Worker-Knoten durch die neue AMI-Version ersetzen. Anweisungen zur Aktualisierung von Worker-Knoten erhalten Sie in der EKS-Dokumentation.
Linux-Kunden, die das für EKS optimierte AMI nicht nutzen, wenden sich bitte an den Anbieter ihres Betriebssystems, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux-Sicherheitszentrum.
AWS Fargate
Für Plattformversion 1.3 ist eine aktualisierte Version von Fargate verfügbar. Sie bietet Abhilfe für die in CVE-2019-5736 beschriebenen Probleme. Gepatchte Versionen älterer Plattformversionen (1.0.0, 1.1.0, 1.2.0) sind ab dem 15. März 2019 verfügbar.
Kunden, die Fargate-Services ausführen, sollten UpdateService mit aktiviertem "--force-new-deployment" aufrufen, um alle neuen Tasks für die neueste Plattformversion 1.3 zu starten. Kunden, die Standalone-Tasks ausführen, sollten bereits vorhandene Tasks beenden und mit der neuesten Version neu starten. Weitere Anleitungen finden Sie in der Fargate-Dokumentation zur Aktualisierung.
Alle Tasks, die kein Upgrade zu einer gepatchten Version erhalten, laufen am 19. April 2019 ab. Kunden, die Standalone-Tasks verwenden, müssen dann neue Tasks starten, um die abgelaufenen zu ersetzen. Weitere Informationen erhalten Sie in der Fargate-Dokumentation zum Task-Ablauf.
AWS IoT Greengrass
Aktualisierte Versionen von AWS IoT Greengrass Core sind für 1.7.1 und 1.6.1 verfügbar. Die aktualisierten Versionen erfordern Funktionen, die in Linux Kernel Version 3.17 oder höher verfügbar sind. Anweisungen zur Aktualisierung Ihres Kernels erhalten Sie hier.
Um die allgemeine Sicherheit zu verbessern, empfehlen wir Kunden, die eine Version von Greengrass Core verwenden, ein Upgrade zur Version 1.7.1 vorzunehmen. Anweisungen zu Over-the-Air-Updates erhalten Sie hier.
AWS Batch
Eine aktualisierte Version des für Amazon ECS optimierten AMI ist als Standard-AMI für Datenverarbeitungsumgebungen verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir Batch-Kunden, ihre bestehenden Datenverarbeitungsumgebungen durch das neueste AMI zu ersetzen. Anweisungen zum Ersetzen der Datenverarbeitungsumgebung finden Sie in der Batch-Produktdokumentation.
Batch-Kunden, die nicht das Standard-AMI nutzen, wenden sich bitte an den Anbieter ihres Betriebssystems, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten. Anweisungen zum benutzerdefinierten Batch-AMI erhalten Sie in der Batch-Produktdokumentation.
AWS Elastic Beanstalk
Aktualisierte Docker-basierte Plattformversionen von AWS Elastic Beanstalk sind verfügbar. Kunden, die verwaltete Plattformaktualisierungen nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Alternativ können Kunden sofort ein Update vornehmen. Dazu müssen sie auf der Konfigurationsseite "Managed Updates" (Verwaltete Updates) auf "Apply Now" (Jetzt anwenden) klicken. Kunden, die keine verwalteten Plattformaktualisierungen nutzen, können die Plattformversion ihrer Umgebung wie hier beschrieben aktualisieren.
AWS Cloud9
Eine aktualisierte Version der AWS Cloud9-Umgebung für Amazon Linux ist verfügbar. Sicherheitspatches werden standardmäßig beim ersten Starten angewandt. Kunden mit bestehenden EC2-basierten AWS Cloud9-Umgebungen wird empfohlen, neue Instances über die aktuellste AWS Cloud9-Version zu starten. Weitere Informationen erhalten Sie im Amazon Linux-Sicherheitszentrum.
AWS Cloud9-Kunden, die SSH-Umgebungen nutzen, die nicht in Amazon Linux entwickelt wurden, sollten sich an den Anbieter ihres Betriebssystems wenden, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten.
AWS SageMaker
Eine aktualisierte Version von Amazon SageMaker ist verfügbar. Kunden, die die Standard-Algorithmus-Container oder Framework-Container von Amazon SageMaker für Training, Tuning, Batch-Transformation oder Endpunkte verwenden, sind nicht betroffen. Kunden, die Labeling- oder Kompilierungsaufgaben ausführen, sind ebenfalls nicht betroffen. Kunden, die nicht Amazon SageMaker-Notebooks zum Ausführen von Docker-Containern verwenden, sind nicht betroffen. Alle Endpunkte, Labeling-, Trainings-, Tuning-, Kompilierungs- und Batch-Transformationsaufgaben, die am 11. Februar oder später gestartet werden, enthalten das neueste Update. Auch hier besteht kein Handlungsbedarf für Kunden. Alle Amazon SageMaker-Notebooks, die am 11. Februar oder später mit CPU-Instances gestartet werden, und alle Amazon SageMaker-Notebooks, die am 13. Februar, 18.00 Uhr PT, oder später mit GPU-Instances gestartet werden, enthalten die neuesten Updates, ohne dass die Kunden etwas tun müssen.
AWS empfiehlt Kunden, die Trainings-, Tuning- und Batch-Transformationsaufgaben mit benutzerdefiniertem Code ausführen, die vor dem 11. Februar erstellt wurden, die Aufgaben anzuhalten und erneut zu starten, um das neueste Update zu integrieren. Diese Aktionen können über die Amazon SageMaker-Konsole durchgeführt werden. Alternativ können Sie die hier beschriebenen Anweisungen befolgen.
Amazon SageMaker aktualisiert alle vier Wochen automatisch alle Endpunkte, die in Betrieb sind, auf die neueste Software. Alle Endpunkte, die vor dem 11. Februar erstellt wurden, werden voraussichtlich bis zum 11. März aktualisiert. Wenn es Probleme mit den automatischen Updates gibt und Kunden Maßnahmen zur Aktualisierung ihrer Endpunkte ergreifen müssen, veröffentlicht Amazon SageMaker eine Benachrichtigung im Personal Health Dashboard des Kunden. Kunden, die ihre Endpunkte bereits früher aktualisieren möchten, können dies manuell über die Amazon SageMaker-Konsole tun. Außerdem steht jederzeit die API-Aktion UpdateEndpoint zur Verfügung. Kunden, die Auto Scaling für ihre Endpunkte aktiviert haben, sollten zusätzlich die hier beschriebenen Anweisungen befolgen.
AWS empfiehlt Kunden, die Docker-Container in Amazon SageMaker-Notebooks ausführen, die Amazon SageMaker-Notebook-Instances anzuhalten und neu zu starten, um die neueste verfügbare Software zu erhalten. Dies ist über die Amazon SageMaker-Konsole möglich. Alternativ können Kunden die Notebook-Instance zunächst über die StopNotebookInstance-API anhalten und sie dann über die StartNotebookInstance-API starten.
AWS RoboMaker
Eine aktualisierte Version der AWS RoboMaker-Entwicklungsumgebung ist verfügbar. Neue Entwicklungsumgebungen nutzen die aktuellste Version. Um die allgemeine Sicherheit zu erhöhen, empfiehlt AWS Kunden, die RoboMaker-Entwicklungsumgebungen verwenden, ihre Cloud9-Umgebungen auf die neueste Version zu aktualisieren.
Eine aktualisierte Version von AWS IoT Greengrass Core ist verfügbar. Alle Kunden, die die RoboMaker-Flottenverwaltung verwenden, sollten für Greengrass Core ein Upgrade zur Version 1.7.1 durchführen. Anweisungen zu Over-the-Air-Upgrades finden Sie hier.
AWS Deep Learning-AMI
Aktualisierte Versionen des Deep Learning Base-AMI und des Deep Learning-AMI für Amazon Linux und Ubuntu sind im AWS Marketplace verfügbar. AWS empfiehlt Kunden, die Docker mit ihrem Deep Learning-AMI oder Deep Learning Base-AMI verwendet haben, neue Instances der aktuellsten AMI-Version zu starten (v21.2 oder neuer für Deep Learning-AMI auf Amazon Linux und Ubuntu, v16.2 oder neuer für Deep Learning Base-AMI auf Amazon Linux und v15.2 oder neuer für Deep Learning Base-AMI auf Ubuntu). Weitere Informationen sind im Amazon Linux-Sicherheitszentrum verfügbar.