Veröffentlichungsdatum: 31.01.2024, 13:30 Uhr PST
CVE-Kennung: CVE-2024-21626
AWS ist über eine kürzlich bekannt gewordene Sicherheitslücke informiert, die die runc-Komponente mehrerer Open-Source-Container-Management-Systeme betrifft (CVE-2024-21626). Mit Ausnahme der unten genannten AWS-Services besteht zur Behebung dieser Probleme kein Handlungsbedarf vonseiten der Kunden.
Amazon Linux
Eine aktualisierte Version von runc ist für Amazon Linux 1 (runc-1.1.11-1.0.amzn1), Amazon Linux 2 (runc-1.1.11-1.amzn2) und für Amazon Linux 2023 (runc-1.1.11-1.amzn2023) verfügbar. AWS empfiehlt Kunden, die runc- oder andere containerbezogene Software verwenden, diese Updates oder eine neuere Version zu installieren. Weitere Informationen erhalten Sie im Amazon-Linux-Sicherheitszentrum.
Bottlerocket-Betriebssystem
Eine aktualisierte Version von runc ist in Bottlerocket 1.19.0 enthalten, das am 2. Februar 2024 veröffentlicht wird. AWS empfiehlt Kunden, die Bottlerocket verwenden, dieses Update oder eine neuere Version anzuwenden. Weitere Informationen werden in den Bottlerocket-Sicherheitshinweisen und den Bottlerocket-Versionshinweisen veröffentlicht.
Amazon Elastic Container Service (ECS)
Diese CVE wurde in runc gepatcht und eine aktualisierte Version von runc, Version 1.1.11-1, ist als Teil der neuesten Amazon-ECS-optimierten Amazon Machine Images (AMIs) verfügbar, die am 31. Januar 2024 veröffentlicht wurden.
Wir empfehlen ECS-Kunden, auf diese AMIs (oder die neuesten verfügbaren) zu aktualisieren oder ein „yum-Update – security“ durchzuführen, um diesen Patch zu erhalten. Weitere Informationen finden Sie im Benutzerhandbuch zum „Amazon-ECS-optimierten AMI“.
Amazon Elastic Kubernetes Services (EKS)
Amazon EKS hat die aktualisierte EKS-optimierte Amazon Machine Images (AMIs)-Version v20240129 mit der gepatchten Container-Laufzeit veröffentlicht. Kunden, die verwaltete Knotengruppen verwenden, können ihre Knotengruppen mithilfe der EKS-Dokumentation aktualisieren. Kunden, die Karpenter verwenden, können ihre Knoten aktualisieren, indem sie der Dokumentation zu Drift oder zur AMI-Auswahl folgen. Kunden, die selbstverwaltete Worker-Knoten verwenden, können vorhandene Knoten mithilfe der EKS-Dokumentation ersetzen.
Amazon EKS Fargate wird bis zum 1. Februar 2024 ein Update für neue Pods auf Clustern zur Verfügung stellen und eine Kubelet-Version anzeigen, die auf eks-680e576 endet. Kunden können die Version ihrer Knoten überprüfen, indem sie kubectl-get-Knoten ausführen. Kunden sollten ihre bestehenden Pods löschen, um den Patch nach dem 2. Februar 2024 zu erhalten. Informationen zum Löschen und Erstellen von Fargate-Pods finden Sie in der Dokumentation „Erste Schritte mit AWS Fargate mithilfe von Amazon EKS“.
Amazon EKS Anywhere hat die aktualisierte Images-Version v0.18.6 mit der gepatchten Container-Laufzeit veröffentlicht. Kunden können in der EKS-Anywhere-Dokumentation „Cluster aktualisieren“ nachlesen, wie Cluster aktualisiert werden, um gepatchte VM-Images zu verwenden.
AWS Elastic Beanstalk
Neue Docker- und ECS-basierte Plattformversionen von AWS Elastic Beanstalk sind verfügbar. Kunden, die Verwaltete Plattformupdates nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Kunden können sofort aktualisieren, indem sie die Konfigurationsseite für Verwaltete Updates aufrufen und auf die Schaltfläche „Jetzt anwenden“ klicken. Kunden, die Verwaltete Plattformupdates nicht aktiviert haben, können die Plattformversion ihrer Umgebung aktualisieren, indem sie dem Benutzerhandbuch „Aktualisieren der Plattformversion Ihrer Elastic-Beanstalk-Umgebung“ folgen.
Finch
Eine aktualisierte Version von runc ist für Finch in der neuesten Version v1.1.0 verfügbar. Kunden sollten ihre Finch-Installation unter macOS aktualisieren, um dieses Problem zu beheben. Finch-Versionen können über die Versionsseite von GitHub des Projekts heruntergeladen werden oder indem Sie „brew update“ ausführen, wenn Sie Finch über Homebrew installiert haben.
AWS Deep Learning AMI
Das betroffene runc-Paket ist Teil unseres Amazon Linux 2 Deep Learning AMI. Dieses runc-Paket wurde aus den Upstream-Versionen von Amazon Linux 2 abgerufen. Deep Learning AMI verwendet automatisch das neueste gepatchte Paket, sobald es vom Amazon-Linux-Team verfügbar ist. Nach der Veröffentlichung müssen die betroffenen Kunden das neueste Deep Learning AMI einsetzen, um die neuesten runc-Updates zu installieren und das Problem zu beheben.
AWS Batch
Eine aktualisierte Version des für Amazon ECS optimierten AMI ist als Standard-AMI für Datenverarbeitungsumgebungen verfügbar. Um die allgemeine Sicherheit zu erhöhen, empfehlen wir Batch-Kunden, ihre bestehenden Datenverarbeitungsumgebungen durch das neueste AMI zu ersetzen. Anweisungen zum Ersetzen der Datenverarbeitungsumgebung finden Sie in der Batch-Produktdokumentation.
Batch-Kunden, die nicht das Standard-AMI nutzen, wenden sich bitte an den Anbieter ihres Betriebssystems, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten. Anweisungen zum benutzerdefinierten Batch-AMI finden Sie in der Batch-Produktdokumentation.
Amazon SageMaker
Alle SageMaker-Ressourcen, einschließlich SageMaker Notebook Instances, SageMaker Training Jobs, SageMaker Processing Jobs, SageMaker Batch Transform Jobs, SageMaker Studio und SageMaker Inference, die nach dem 2. Februar 2024 erstellt oder neu gestartet wurden, verwenden den Patch automatisch. Für SageMaker Inference werden alle Live-Endpunkte, die nicht neu erstellt wurden, bis zum 7. Februar 2024 automatisch gepatcht.
Bei Fragen oder Bedenken zum Thema Sicherheit schreiben Sie uns an aws-security@amazon.com.