CVE-Kennung: CVE-2020-8558

Hierbei handelt es sich um ein Update zu diesem Problem.

AWS ist sich eines Sicherheitsproblems bewusst, das kürzlich von der Kubernetes-Community bekannt gemacht worden ist, das die Vernetzung von Linux-Containern betrifft (CVE-2020-8558). Dieses Problem kann es Containern, die auf demselben Host oder benachbarten Hosts laufen (Hosts, die im selben LAN oder in derselben Layer 2-Domäne laufen), ermöglichen, TCP- und UDP-Dienste zu erreichen, die an localhost (127.0.0.1) gebunden sind.

Die Sicherheitskontrollen von AWS zur Aufrechterhaltung der Isolation zwischen den Kunden in Amazon ECS und Amazon EKS funktionieren weiterhin korrekt. Dieses Problem ist nicht mit dem Risiko eines kontenübergreifenden Datenzugriffs verbunden. Prozesse innerhalb eines Containers auf einem Host können unter Umständen unbeabsichtigten Netzwerkzugriff auf andere Container auf demselben Host oder auf andere Hosts innerhalb derselben VPC und desselben Subnetzes erlangen. Es sind Kundenmaßnahmen erforderlich. Schritte zur sofortigen Minderung sind unter https://github.com/aws/containers-roadmap/issues/976 verfügbar. Alle Amazon ECS- und Amazon EKS-Kunden sollten auf die neueste AMI aktualisieren.

AWS Fargate
AWS Fargate ist nicht betroffen. Vonseiten der Kunden besteht kein Handlungsbedarf.

Amazon Elastic Container Service (Amazon ECS)
Aktualisierte, für Amazon ECS optimierte AMIs sind jetzt verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir ECS-Kunden, ihre Konfigurationen zu aktualisieren, damit neue Container-Instances über die aktuellste AMI-Version gestartet werden.

Um ein Upgrade ihrer AMIs durchzuführen, können Kunden in der ECS-Dokumentation nachschlagen.

Amazon Elastic Kubernetes Service (Amazon EKS)
Aktualisierte, für Amazon EKS optimierte AMIs sind jetzt verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir EKS-Kunden, ihre Konfigurationen zu aktualisieren, sodass neue Worker-Knoten über die aktuellste AMI-Version gestartet werden.

Um ein Upgrade ihrer Knotengruppen durchzuführen, können Kunden, die Managed Node Groups verwenden, in der EKS-Dokumentation nachschlagen. Kunden, die Worker-Knoten selbst verwalten, sollten bestehende Instanzen durch die neue AMI-Version ersetzen, wie in der EKS-Dokumentation beschrieben. 

CVE-Kennung: CVE-2020-8558

Es wird eine veraltete Version dieses Sicherheitsbulletins angezeigt.

AWS ist sich eines Sicherheitsproblems bewusst, das kürzlich von der Kubernetes-Community bekannt gemacht worden ist, das die Vernetzung von Linux-Containern betrifft (CVE-2020-8558). Dieses Problem kann es Containern, die auf demselben Host oder benachbarten Hosts laufen (Hosts, die im selben LAN oder in derselben Layer 2-Domäne laufen), ermöglichen, TCP- und UDP-Dienste zu erreichen, die an localhost (127.0.0.1) gebunden sind.

AWS Fargate ist nicht betroffen. Vonseiten der Kunden besteht kein Handlungsbedarf.

Die Sicherheitskontrollen von AWS zur Aufrechterhaltung der Isolation zwischen den Kunden in Amazon ECS und Amazon EKS funktionieren weiterhin korrekt. Dieses Problem ist nicht mit dem Risiko eines kontenübergreifenden Datenzugriffs verbunden. Prozesse innerhalb eines Containers auf einem Host können unter Umständen unbeabsichtigten Netzwerkzugriff auf andere Container auf demselben Host oder auf andere Hosts innerhalb derselben VPC und desselben Subnetzes erlangen. Es sind Kundenmaßnahmen erforderlich. Schritte zur sofortigen Minderung sind unter https://github.com/aws/containers-roadmap/issues/976 verfügbar.

Wir werden aktualisierte Amazon Machine Images sowohl für Amazon ECS als auch für Amazon EKS veröffentlichen, und Kunden sollten auf diese AMIs aktualisieren, sobald sie verfügbar sind.

AWS Fargate
AWS Fargate ist nicht betroffen. Vonseiten der Kunden besteht kein Handlungsbedarf.

Amazon Elastic Container Service (Amazon ECS)
Amazon ECS veröffentlicht am 9. Juli 2020 aktualisierte ECS-optimierte AMIs, darunter die Amazon Linux AMI, Amazon Linux 2 AMI, GPU-optimierte AMI, ARM-optimierte AMI und Inferentia-optimierte AMI. Die Nutzung eines dieser AMIs wird das Problem mindern. Dieser Bericht wird aktualisiert, wenn die aktualisierten AMIs verfügbar sind.

Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS veröffentlicht am 9. Juli 2020 aktualisierte EKS-optimierte AMIs, einschließlich des Amazon Linux 2 EKS-optimierten AMI und des EKS-optimierten beschleunigten AMI für Kubernetes 1.14, 1.15 und 1.16. Die Nutzung eines dieser AMIs wird das Problem mindern. Dieser Bericht wird aktualisiert, wenn die aktualisierten AMIs verfügbar sind.