Hierbei handelt es sich um ein Update zu diesem Problem.
Binärdateien von AWS IoT Greengrass Core V1 (1.10.4 und 1.11.3) mit gepatchtem runC stehen jetzt zum Download bereit ( https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html). Ein aktualisierter Greengrass V2 Lambda Launcher v2.0.6 (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html) ist ebenfalls in der AWS-IoT-Konsole verfügbar. Wir empfehlen Greengrass-Kunden, auf die neuesten Binärdateien und Lambda-Launcher zu aktualisieren, um den neuesten runC-Patch zu integrieren.
Es wird eine veraltete Version dieses Sicherheitsbulletins angezeigt.
AWS ist sich der kürzlich bekannt gewordenen Sicherheitslücke in runC bewusst, das eine Komponente vieler Container-Management-Systeme ist (CVE-2021-30465). Mit Ausnahme der unten genannten AWS-Services besteht zur Behebung dieser Probleme kein Handlungsbedarf vonseiten der Kunden.
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS hat am 21. Mai 2021 aktualisierte ECS-optimierte Amazon Machine Images (AMIs) mit der gepatchten Container-Laufzeit veröffentlicht. Unter https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html erhalten Sie weitere Informationen über das für ECS optimierte AMI.
Um dieses Problem in der Zwischenzeit zu beheben, empfehlen wir ECS-Kunden, yum update --security durchzuführen, um diesen Patch zu erhalten. Weitere Informationen finden Sie unter https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html .
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS hat aktualisierte EKS-optimierte Amazon Machine Images (AMIs) mit der gepatchten Container-Laufzeit veröffentlicht. Weitere Informationen zum für EKS optimierten AMI erhalten Sie unter https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
EKS-Kunden sollten alle Worker-Knoten ersetzen, um die aktuelle für EKS optimierte AMI-Version nutzen zu können. Anweisungen zur Aktualisierung von Worker-Knoten erhalten Sie unter https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Bottlerocket
Amazon hat Bottlerocket-AMIs und Updates im Hintergrund veröffentlicht. Das Aktualisieren auf das neueste Update im Hintergrund oder das Ersetzen von Instances durch die neuesten AMIs behebt dieses Problem.
Wenn Sie den Bottlerocket Update Operator für Kubernetes verwenden, sollten Sie damit rechnen, dass Knoten innerhalb eines Tages und alle Knoten innerhalb einer Woche mit der Aktualisierung beginnen. Kunden können über zwei API-Aufrufe manuell schneller aktualisieren: apiclient set updates.ignore-waves=true und apiclient update apply --check --reboot. Kehren Sie nach Abschluss der Aktualisierungen mit apiclient set updates.ignore-waves=false zur Standardeinstellung zurück.
Amazon Linux und Amazon Linux 2
Eine aktualisierte Version von runc ist für Amazon-Linux-2-Extras-Repositorys (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) und Amazon-Linux-AMI-2018.03-Repositorys verfügbar (*runc-1.0.0-0.2.20210225.git12644e6. 3.amzn1*). AWS empfiehlt Kunden, die Container in Amazon Linux verwenden, auf die neueste Version von runc zu aktualisieren und alle laufenden Container neu zu starten.
AWS Cloud9
Eine aktualisierte Version der AWS-Cloud9-Umgebung für Amazon Linux ist verfügbar. Sicherheitspatches werden standardmäßig beim ersten Starten angewandt. Kunden mit bestehenden EC2-basierten AWS-Cloud9-Umgebungen wird empfohlen, neue Instances über die aktuellste AWS-Cloud9-Version zu starten. Weitere Informationen erhalten Sie im Amazon-Linux-Sicherheitszentrum (https://alas.aws.amazon.com/).
AWS-Cloud9-Kunden, die SSH-Umgebungen nutzen, die nicht in Amazon Linux entwickelt wurden, sollten sich an den Anbieter ihres Betriebssystems wenden, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten.
AWS IoT Greengrass
Aktualisierte AWS-IoT-Greengrass-Core-V1-Binärdateien und Greengrass-V2-Lambda-Launcher werden bis zum 15. Juni als neueste Versionen von Greengrass verfügbar sein. Dieser Bericht wird aktualisiert, sobald diese AMIs verfügbar sind.
Greengrass verwendet die runC-Bibliothek, um Lambda-Funktionen innerhalb eines OCI-konformen Containers auf Greengrass-Core-Geräten auszuführen. Die Lambda-Funktionen für die Bereitstellung auf Greengrass-Cores werden Greengrass über authentifizierte autorisierte Cloud-APIs, authentifizierte und autorisierte lokale CLI (falls aktiviert) oder über lokalen Root-Zugriff zur Verfügung gestellt. Das bedeutet, dass Greengrass nur Lambda-Funktionen bereitstellt und ausführt, die dafür vorgesehen sind, und dass keine Maßnahmen erforderlich sind, solange Lambda-Funktionen aus vertrauenswürdigen Quellen bereitgestellt werden. Als bewährte Methode sollten Kunden Lambdas nur aus vertrauenswürdigen Quellen bereitstellen.
AWS-Deep-Learning-AMI
Aktualisierte Versionen des Deep-Learning-Base-AMI und des Deep-Learning-AMI für Amazon Linux und Amazon Linux2 sind in der AWS-EC2-Konsole und im AWS Marketplace verfügbar. AWS empfiehlt Kunden, die Docker mit ihrem Deep-Learning-Base-AMI oder Deep-Learning-AMI verwendet haben, neue Instances der neuesten AMI-Version zu starten (v35.0 oder höher für Deep-Learning-Base-AMI auf Amazon Linux, v38.0 oder höher für Deep-Learning-Base-AMI auf Amazon Linux 2, v45.0 oder höher für Deep-Learning-Base-AMI auf Amazon Linux und Amazon Linux 2). Weitere Informationen sind im Amazon-Linux-Sicherheitszentrum verfügbar.
AWS Batch
Nach dem AMI-Update:
Eine aktualisierte Version des für Amazon ECS optimierten AMI ist als Standard-AMI für Datenverarbeitungsumgebungen verfügbar. Wir empfehlen, dass Batch-Kunden ihre bestehenden Datenverarbeitungsumgebungen durch das neueste verfügbare AMI ersetzen. Anweisungen zum Ersetzen der Datenverarbeitungsumgebung finden Sie in der Batch-Produktdokumentation
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments).
Batch-Kunden, die nicht das Standard-AMI nutzen, wenden sich bitte an den Anbieter ihres Betriebssystems, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten. Anweisungen für das benutzerdefinierte Batch-AMI finden Sie in der Batch-Produktdokumentation (https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html).
AWS Elastic Beanstalk
Neue Docker-basierte Plattformversionen von AWS Elastic Beanstalk sind verfügbar. Wir empfehlen Kunden, das Update sofort durchzuführen, indem sie die Konfigurationsseite für verwaltete Updates aufrufen und auf die Schaltfläche „Jetzt anwenden“ klicken. Kunden, die keine verwalteten Plattformaktualisierungen nutzen, können die Plattformversion ihrer Umgebung wie hier beschrieben aktualisieren. Kunden, die verwaltete Plattformaktualisierungen nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Versionshinweise sind auch verfügbar.