Mitteilungs-ID: AWS-2025-024
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Beachtung)
Datum der Veröffentlichung: 05.11.2025, 8:45 Uhr PDT

CVE-Identifikatoren: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

AWS ist über eine kürzlich bekannt gewordene Sicherheitslücke informiert, welche die runc-Komponente mehrerer Open-Source-Container-Management-Systeme betrifft (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881), wenn neue Container gestartet werden. AWS betrachtet Container nicht als Sicherheitsgrenze und verwendet Container nicht, um Kunden voneinander zu isolieren. Aus diesen Problemen geht kein kundenübergreifendes Risiko hervor. AWS-Kunden, welche Container verwenden, um Workloads in ihren eigenen, selbst verwalteten Umgebungen zu isolieren, wird dringend empfohlen, ihren Betriebssystemanbieter zu kontaktieren, um alle Updates oder Anweisungen zu erhalten, die zur Behebung potenzieller Bedenken aufgrund dieser Probleme erforderlich sind.

Mit Ausnahme der unten genannten AWS-Services besteht zur Behebung dieser Probleme kein Handlungsbedarf seitens der Kunden. Als bewährte Methode empfiehlt AWS immer, dass Sie alle Sicherheitspatches und Softwareversionsupdates installieren.

Amazon Linux

Eine aktualisierte Version von runc wird für Amazon Linux 2 (runc-1.3.2-2.amzn2) und Amazon Linux 2023 (runc-1.3.2-2.amzn2023.0.1) verfügbar sein. AWS empfiehlt Kunden, die Amazon Linux 2 oder Amazon Linux 2023 verwenden, ihre Version von runc auf mindestens 1.3.2-2 zu aktualisieren. Weitere Informationen erhalten Sie im Sicherheitszentrum für Amazon Linux.

Bottlerocket

Eine aktualisierte Version von runc ist in Bottlerocket 1.50.0 enthalten, welches am 5. November 2025 veröffentlicht wird. AWS empfiehlt den Kunden, welche Bottlerocket verwenden, dieses Update anzuwenden. Weitere Informationen werden in den Versionsinformationen zu Bottlerocket veröffentlicht.

Amazon Elastic Container Service (ECS)

Amazon ECS wird am 5. November 2025 eine aktualisierte Version der für Amazon ECS-optimierten Amazon Machine Images (AMIs) veröffentlichen (Version 20251031). Diese aktualisierte Version enthält eine neue Runc-Version (Version 1.3.2-2). Wir empfehlen Kunden, die ECS auf EC2-Instances verwenden, entweder auf diese neuesten AMIs zu aktualisieren oder ein „yum update -security“ durchzuführen, um die Sicherheitspatches zu erhalten. Weitere Informationen finden Sie im Benutzerhandbuch zum für Amazon ECS optimierten AMI.

Amazon ECS Fargate wird automatisch eine aktualisierte Version von runc in alle Fargate-Aufgaben aufnehmen, die nach dem 5. November 2025 gestartet wurden. Die Kunden müssen keine Maßnahmen ergreifen.

Amazon ECS Managed Instances wird am 5. November 2025 neue AMIs mit einer aktualisierten Version von runc veröffentlichen. ECS wird verhindern, dass neue Aufgaben auf bestehenden Container-Instances landen. Stattdessen werden alle neuen Aufgaben auf neuen Container-Instances platziert, welche die neuen AMIs mit der aktualisierten runc-Version verwenden. Die Kunden müssen keine Maßnahmen ergreifen.

Amazon Elastic Kubernetes Service (EKS)

Amazon EKS wird am 5. November 2025 aktualisierte EKS-Auto-Mode-AMIs mit einer gepatchten Container-Runtime veröffentlichen. NodePools im Automodus, welche auf die Standard-Drift-Einstellungen eingestellt sind, beginnen automatisch mit der Aktualisierung auf die gepatchte AMI-Version. Nodes, für die Node Disruption Controls eingerichtet sind, werden innerhalb von 21 Tagen nach dem ersten Start auf die gepatchte Version aktualisiert. Um Ihre Knoten sofort zu aktualisieren, können Sie sie löschen und so einen sofortigen Ersatz erzwingen. Kunden können überprüfen, ob Nodes ein gepatchtes AMI ausführen, indem sie „kubectl get node -o wide“ ausführen und das Feld „OS Image“ überprüfen. Knoten, die gepatcht wurden, haben ein Datum von 2025.11.01 oder später (z. B. Bottlerocket (EKS Auto, Standard) 2025.11.01 (aws-k8s-1.34-standard)).

Amazon EKS wird am 5. November 2025 die aktualisierte EKS-optimierte AL2/AL2023 Amazon Machine Images (AMIs)-Version v20251103 mit der gepatchten Container-Runtime veröffentlichen. Das EKS Bottlerocket AMI 1.50.0 enthält ebenfalls die gepatchte Container-Runtime. Kunden, die verwaltete Knotengruppen verwenden, können ihre Knotengruppen aktualisieren, indem sie die EKS-Dokumentation zu Rate ziehen. Kunden, die Karpenter nutzen, können ihre Knoten aktualisieren, indem sie der Dokumentation zu Drift oder AMI-Auswahl folgen. Kunden, die selbstverwaltete Worker-Knoten verwenden, können vorhandene Knoten ersetzen, indem sie der EKS-Dokumentation folgen.

Amazon EKS Fargate wird am 5. November 2025 eine Aktualisierung für neue Pods auf neuen oder vorhandenen Clustern zur Verfügung stellen. Kunden müssen vorhandene Amazon-EKS-Fargate-Pods löschen, um die gepatchte Laufzeit verwenden zu können. Kunden können überprüfen, ob ihre Knoten mit der Kubelet-Version gepatcht sind, die auf eks-3cfe0ce endet, indem sie kubectl get nodes ausführen. Informationen zum Löschen und Erstellen von Fargate-Pods finden Sie in der Dokumentation Erste Schritte mit AWS Fargate mithilfe von Amazon EKS.

Amazon EKS Anywhere wird am 6. November 2025 die aktualisierten Versionen v0.24.0 und 0.23.5 mit dem gepatchten Runc (Version 1.3.2-2) veröffentlichen. Kunden finden in der Dokumentation zum EKS-Anywhere-Upgrade-Cluster Informationen dazu, wie sie Cluster aktualisieren können, um gepatchte Images virtueller Maschinen zu verwenden.

AWS Elastic Beanstalk

Aktualisierte Versionen der auf AWS Elastic Beanstalk Docker und ECS basierenden Plattform werden am 5. November 2025 verfügbar sein. Kunden, welche die Verwaltete Plattformupdates nutzen, erhalten die aktuellste Plattformversion im ausgewählten Wartungsfenster automatisch und müssen nichts weiter tun. Alternativ können Kunden sofort eine Aktualisierung vornehmen. Dazu müssen sie auf der Konfigurationsseite „Verwaltete Aktualisierungen“ auf „Jetzt anwenden“ klicken. Kunden, die keine verwalteten Plattformaktualisierungen nutzen, können die Plattformversion ihrer Umgebung wie in dieser Dokumentation beschrieben aktualisieren.

Finch

Eine aktualisierte Version von runc wird am 5. November 2025 für Finch für macOS- und Windows-Plattformen in der neuesten Version v1.13.0 verfügbar sein. Kunden sollten ihre Finch-Installation unter macOS und Windows aktualisieren, um dieses Problem zu beheben. Finch-Versionen können über die Versionsseite von GitHub des Projekts heruntergeladen werden oder indem Sie „brew update“ ausführen, wenn Sie Finch über Homebrew installiert haben. Nach der Aktualisierung muss die virtuelle Maschine neu initialisiert werden, indem die virtuelle Maschine entfernt und neu initialisiert wird (init).

AWS-Deep-Learning-AMI

Aktualisierte AMIs von Amazon Linux 2 und Amazon Linux 2023 Deep Learning werden am 5. November 2025 verfügbar sein. Kunden sollten auf die neueste AMI-Version aktualisieren, sobald sie verfügbar ist.

AWS Batch

Als allgemeine bewährte Sicherheitsmethode empfehlen wir Batch-Kunden, ihre bestehenden Datenverarbeitungsumgebungen durch das neueste AMI zu ersetzen, sobald es verfügbar ist. Anweisungen zum Ersetzen der Datenverarbeitungsumgebung finden Sie in der Batch-Produktdokumentation. Eine aktualisierte Version des für Amazon ECS und EKS optimierten AMI ist als Standard-AMI für Datenverarbeitungsumgebungen ab 12. November 2025 verfügbar.

Batch-Kunden, die nicht das Standard-AMI nutzen, wenden sich bitte an den Anbieter ihres Betriebssystems, um die erforderlichen Updates zur Behebung dieser Probleme zu erhalten. Anweisungen zum benutzerdefinierten Batch-AMI finden Sie in der Batch-Produktdokumentation.

Amazon SageMaker

Alle SageMaker-Ressourcen, die nach dem 7. November 2025 erstellt oder neu gestartet wurden, enthalten automatisch die gepatchte Version von runc. Dazu gehören SageMaker Notebook Instances, SageMaker Trainingsjobs, SageMaker Processing Jobs, SageMaker Batch Transform Jobs, SageMaker Studio und SageMaker Inference. AWS wird mit dem Patchen vorhandener SageMaker-Ressourcen beginnen, die vor dem 7. November 2025 erstellt wurden, sobald das AWS-Deep-Learning-AMI und die Amazon-Linux-AMIs verfügbar sind.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.