Es wird eine veraltete Version dieses Sicherheitsberichts angezeigt. Die aktuelle Version erhalten Sie unter "Container-Sicherheitsproblem (CVE-2019-5736)".
11. Februar 2019, 7.00 Uhr PST
CVE-Kennung: CVE-2019-5736
AWS ist über das kürzlich bekannt gewordene Sicherheitsproblem informiert, das sich auf mehrere Open-Source-Container-Management-Systeme auswirkt (CVE-2019-5736). Mit Ausnahme der unten genannten AWS-Services brauchen Kunden nichts tun, um das Problem zu beheben.
Amazon Linux
Eine aktualisierte Version von Docker ist für Amazon Linux 2-Repositorys (ALAS-2019-1156) und Amazon Linux AMI 2018.03-Repositorys (ALAS-2019-1156) verfügbar. AWS empfiehlt Kunden, die Docker in Amazon Linux verwenden, neue Instances über die aktuellste AMI-Version zu starten. Weitere Informationen erhalten Sie im Amazon Linux-Sicherheitszentrum.
Amazon Elastic Container Service (Amazon ECS)
Aktualisierte Versionen der für Amazon ECS optimierten AMIs, darunter das Amazon Linux-AMI, das Amazon Linux 2-AMI und das GPU-optimierte AMI, sind ab 11. Februar 2019 verfügbar. Dieser Bericht wird aktualisiert, wenn die aktualisierten AMIs verfügbar sind. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir ECS-Kunden, ihre Konfigurationen zu aktualisieren, damit neue Container-Instances über die aktuellste AMI-Version gestartet werden. Bereits vorhandene Container-Instances sollten mit der neuen AMI-Version ersetzt werden, um das oben genannte Problem zu lösen. Eine Anleitung hierfür finden Sie in der ECS-Dokumentation für das Amazon Linux-AMI, das Amazon Linux 2-AMI und das GPU-optimierte AMI.
Linux-Kunden, die das für ECS optimierte AMI nicht nutzen, wird empfohlen, sich für Aktualisierungen und Anweisungen an den jeweiligen Betriebssystem-, Software- oder AMI-Drittanbieter zu wenden. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux-Sicherheitszentrum.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Ein aktualisiertes, für Amazon EKS optimiertes AMI ist ab 11. Februar 2019 verfügbar. Dieser Bericht wird aktualisiert, wenn die aktualisierten AMIs verfügbar sind. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir EKS-Kunden, ihre Konfigurationen zu aktualisieren, um neue Worker-Knoten über die aktuellste AMI-Version zu starten. Um das oben genannte Problem zu beheben, sollten Kunden bereits vorhandene Worker-Knoten durch die neue AMI-Version ersetzen. Anweisungen zur Aktualisierung von Worker-Knoten erhalten Sie in der EKS-Dokumentation.
Linux-Kunden, die das für EKS optimierte AMI nicht nutzen, sollten sich an den Anbieter ihres Betriebssystems wenden, um die erforderlichen Aktualisierungen zur Behebung der Probleme zu erhalten. Anweisungen zu Amazon Linux erhalten Sie im Amazon Linux-Sicherheitszentrum.
AWS Fargate
Für Plattformversion 1.3 ist eine aktualisierte Version von Fargate verfügbar. Sie bietet Abhilfe für die in CVE-2019-5736 beschriebenen Probleme. Gepatchte Versionen älterer Plattformversionen (1.0.0, 1.1.0, 1.2.0) sind ab dem 15. März 2019 verfügbar.
Kunden, die Fargate-Services ausführen, sollten UpdateService mit aktiviertem "--force-new-deployment" aufrufen, um alle neuen Tasks für die neueste Plattformversion 1.3 zu starten. Kunden, die Standalone-Tasks ausführen, sollten bereits vorhandene Tasks beenden und mit der neuesten Version neu starten. Weitere Anleitungen finden Sie in der Fargate-Dokumentation zur Aktualisierung.
Alle Tasks, die kein Upgrade zu einer gepatchten Version erhalten, laufen am 19. April 2019 ab. Kunden, die Standalone-Tasks verwenden, müssen dann neue Tasks starten, um die abgelaufenen zu ersetzen. Weitere Informationen erhalten Sie in der Fargate-Dokumentation zum Task-Ablauf.
AWS IoT Greengrass
Aktualisierte Versionen von AWS IoT Greengrass Core sind ab 11. Februar 2019 verfügbar. Dieser Bericht wird aktualisiert, wenn die gepatchten Versionen verfügbar sind. Die aktualisierten Versionen erfordern Funktionen, die in Linux Kernel Version 3.17 oder höher verfügbar sind. Anweisungen zur Aktualisierung Ihres Kernels erhalten Sie hier.
Um die allgemeine Sicherheit zu verbessern, empfehlen wir Kunden, die eine Version von Greengrass Core verwenden, ein Upgrade zur Version 1.7.1 vorzunehmen. Anweisungen zu Over-the-Air-Updates erhalten Sie hier.
AWS Batch
Eine aktualisierte Version des für Amazon ECS optimierten AMI ist als Standard-AMI für Datenverarbeitungsumgebungen ab 11. Februar 2019 verfügbar. Dieser Bericht wird aktualisiert, wenn das AMI verfügbar ist. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir Batch-Kunden, ihre bestehenden Datenverarbeitungsumgebungen durch das neueste AMI zu ersetzen, sobald es verfügbar ist. Wenn Batch-Kunden sofort eine Aktualisierung durchführen müssen, sollten sie beim Erstellen einer Datenverarbeitungsumgebung das Standard-AMI mit dem neuesten, für ECS optimierten AMI überschreiben. Anweisungen zum Ersetzen der Datenverarbeitungsumgebung finden Sie in der Batch-Produktdokumentation.
Batch-Kunden, die nicht das Standard-AMI nutzen, sollten sich an den Anbieter ihres Betriebssystems wenden, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten. Anweisungen zum benutzerdefinierten Batch-AMI erhalten Sie in der Batch-Produktdokumentation.
AWS Elastic Beanstalk
Aktualisierte, Docker-basierte AWS Elastic Beanstalk-Plattformen sind ab 11. Februar 2019 verfügbar. Dieser Bericht wird aktualisiert, wenn die neuen Plattformversionen verfügbar sind. Kunden, die verwaltete Plattformaktualisierungen nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Alternativ können Kunden sofort ein Update vornehmen. Dazu müssen sie auf der Konfigurationsseite "Managed Updates" (Verwaltete Updates) auf "Apply Now" (Jetzt anwenden) klicken. Kunden, die keine verwalteten Plattformaktualisierungen nutzen, können die Plattformversion ihrer Umgebung wie hier beschrieben aktualisieren.
AWS Cloud9
Eine neue Version der AWS Cloud9-Umgebung für Amazon Linux ist verfügbar. Sicherheitspatches werden standardmäßig beim ersten Starten angewandt. Kunden mit bestehenden EC2-basierten AWS Cloud9-Umgebungen wird empfohlen, neue Instances über die aktuellste AWS Cloud9-Version zu starten. Weitere Informationen erhalten Sie im Amazon Linux-Sicherheitszentrum.
AWS Cloud9-Kunden, die SSH-Umgebungen nutzen, die nicht in Amazon Linux entwickelt wurden, sollten sich an den Anbieter ihres Betriebssystems wenden, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten.
AWS SageMaker
Eine aktualisierte Version von Amazon SageMaker ist verfügbar. Kunden, die die Standard-Algorithmus-Container oder Framework-Container von Amazon SageMaker für Training, Tuning, Batch-Transformation oder Endpunkte verwenden, sind nicht betroffen. Kunden, die Labeling- oder Kompilierungsaufgaben ausführen, sind ebenfalls nicht betroffen. Kunden, die nicht Amazon SageMaker-Notebooks zum Ausführen von Docker-Containern verwenden, sind nicht betroffen. Darüber hinaus enthalten alle Amazon SageMaker-Notebooks, die am 11. Februar oder später mit CPU-Instances gestartet werden, die neuesten Updates, sodass Kunden nichts weiter tun müssen. Alle Endpunkte, Labeling-, Trainings-, Tuning-, Kompilierungs- und Batch-Transformationsaufgaben, die am 11. Februar oder später gestartet werden, enthalten das neueste Update. Auch hier besteht kein Handlungsbedarf für Kunden.
AWS empfiehlt Kunden, die Trainings-, Tuning- und Batch-Transformationsaufgaben mit benutzerdefiniertem Code ausführen, die vor dem 11. Februar erstellt wurden, die Aufgaben anzuhalten und erneut zu starten, um das neueste Update zu integrieren. Diese Aktionen können über die Amazon SageMaker-Konsole durchgeführt werden. Alternativ können Sie die hier beschriebenen Anweisungen befolgen.
Amazon SageMaker aktualisiert alle vier Wochen automatisch alle Endpunkte, die in Betrieb sind, auf die neueste Software. Alle Endpunkte, die vor dem 11. Februar erstellt wurden, werden voraussichtlich bis zum 11. März aktualisiert. Wenn es Probleme mit den automatischen Updates gibt und Kunden Maßnahmen zur Aktualisierung ihrer Endpunkte ergreifen müssen, veröffentlicht Amazon SageMaker eine Benachrichtigung im Personal Health Dashboard des Kunden. Kunden, die ihre Endpunkte bereits früher aktualisieren möchten, können dies manuell über die Amazon SageMaker-Konsole tun. Außerdem steht jederzeit die API-Aktion UpdateEndpoint zur Verfügung. Kunden, die Auto Scaling für ihre Endpunkte aktiviert haben, sollten zusätzlich die hier beschriebenen Anweisungen befolgen.
AWS empfiehlt Kunden, die Docker-Container in Amazon SageMaker-Notebooks mit CPU-Instances ausführen, die Amazon SageMaker-Notebook-Instances anzuhalten und neu zu starten, um die neueste verfügbare Software zu erhalten. Dies ist über die Amazon SageMaker-Konsole möglich. Alternativ können Kunden die Notebook-Instance zunächst über die StopNotebookInstance-API anhalten und sie dann über die StartNotebookInstance-API starten.
Eine aktualisierte Version der Amazon SageMaker-Notebooks mit GPU-Instances steht Kunden kurz nach der Veröffentlichung der Nvidia-Patches zur Verfügung. Dieser Bericht wird aktualisiert, wenn eine aktualisierte Version verfügbar ist. Kunden, die Docker-Container auf Notebooks mit GPU-Instances ausführen, können vorbeugende Maßnahmen ergreifen, indem sie ihre Notebook-Instances vorübergehend über die Konsole anhalten. Alternativ können sie die StopNotebookInstance-API verwenden und ihre Notebook-Instance dann über StartNotebookInstance starten, nachdem die aktualisierte Version verfügbar ist.
AWS RoboMaker
Eine aktualisierte Version der AWS RoboMaker-Entwicklungsumgebung wird kurz nach der Veröffentlichung der Canonical- und Docker-Patches verfügbar sein. Dieser Bericht wird aktualisiert, wenn das Update verfügbar ist. Um die allgemeine Sicherheit zu erhöhen, empfiehlt AWS Kunden, die RoboMaker-Entwicklungsumgebungen verwenden, ihre Cloud9-Umgebungen auf die neuste Version zu aktualisieren.
Eine aktualisierte Version von AWS IoT Greengrass Core ist ab 11. Februar 2019 verfügbar. Dieser Bericht wird aktualisiert, wenn die aktualisierte Version verfügbar ist. Kunden, die die RoboMaker-Flottenverwaltung verwenden, sollten Greengrass Core auf die neueste Version aktualisieren, sobald diese verfügbar ist. Kunden sollten diese Anweisungen befolgen, um das Update zu erhalten.
AWS Deep Learning-AMI
AWS empfiehlt Kunden, die Docker mit ihrem Deep Learning-AMI oder Deep Learning Base-AMI auf Amazon Linux verwendet haben, neue Instances der aktuellsten AMI-Version zu starten und den folgenden Befehl zum Aktualisieren von Docker auszuführen:
sudo yum upgrade docker
Eine aktualisierte Version des Deep Learning Base-AMI und Deep Learning-AMI steht nach der Veröffentlichung aller relevanten Sicherheitspatches zum Download bereit. Dieser Bericht wird aktualisiert, wenn die neuen AMIs verfügbar sind.
Weitere Informationen sind im Amazon Linux-Sicherheitszentrum verfügbar.
Nachdem die Docker-Updates für Ubuntu für die in CVE-2019-5736 aufgeführten Probleme veröffentlicht wurden, empfiehlt AWS Folgendes: Kunden, die Docker mit dem Deep Learning-AMI oder Deep Learning Base-AMI auf Ubuntu verwendet haben, sollten neue Instances der aktuellsten AMI-Version starten und zum Aktualisieren von Docker diese Anweisungen befolgen (befolgen Sie alle Installationsschritte):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
AWS empfiehlt Kunden außerdem, im Sicherheitsbericht von Nvidia auf Updates für nvidia-docker2 und verwandte Produkte zu achten.