13 de febrero de 2019 9:00 PM PST
Identificador de CVE: CVE-2019-5736
AWS es consciente de los recientes problemas de seguridad revelados que afectan a varios sistemas de administración de contenedores de código abierto (CVE-2019-5736). A excepción de los servicios de AWS que se indican a continuación, no se requieren acciones por parte de los clientes para resolver este problema.
Amazon Linux
Una versión actualizada de Docker (docker-18.06.1ce-7.amzn2) está disponible para los repositorios adicionales de Amazon Linux 2 y los repositorios de la AMI de Amazon Linux 2018.03 (ALAS-2019-1156). AWS recomienda a los clientes que utilizan Docker en Amazon Linux que implementen nuevas instancias desde la última versión de la AMI. Puede obtener más información en el Centro de seguridad de Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Ya están disponibles las AMI optimizadas para Amazon ECS, incluida la AMI de Amazon Linux, la AMI de Amazon Linux 2 y la AMI optimizada para GPU. Como práctica recomendada de seguridad general, sugerimos a los clientes de ECS que actualicen sus configuraciones para que implementen nuevas instancias de contenedores a partir de la última versión de la AMI. Los clientes deben reemplazar las instancias de contenedor existentes con la nueva versión de la AMI para resolver el problema descrito anteriormente. Las instrucciones para reemplazar las instancias de contenedor existentes se pueden encontrar en la documentación de ECS para la AMI de Amazon Linux, la AMI de Amazon Linux 2 y la AMI optimizada para GPU.
Para los clientes de Linux que no utilicen la AMI optimizada para ECS, se recomienda que consulten con el proveedor del sistema operativo, el software o la AMI a fin de obtener las actualizaciones e instrucciones necesarias. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Se encuentra disponible una AMI optimizada de Amazon EKS actualizada en el AWS Marketplace. Como práctica recomendada de seguridad general, sugerimos a los clientes de EKS que actualicen sus configuraciones para que implementen nuevos nodos de trabajo a partir de la última versión de AMI. Los clientes deben reemplazar los nodos de trabajo existentes con la nueva versión de la AMI para resolver el problema descrito anteriormente. Las instrucciones sobre cómo actualizar los nodos de trabajo se pueden encontrar en la documentación de EKS.
Los clientes de Linux que no utilizan la AMI optimizada de EKS deben comunicarse con el proveedor del sistema operativo para obtener las actualizaciones necesarias a fin de resolver estos problemas. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de Amazon Linux.
AWS Fargate
Una versión actualizada de Fargate está disponible para la versión 1.3 de la plataforma que mitiga los problemas descritos en CVE-2019-5736. Las versiones parcheadas de las versiones anteriores de la plataforma (1.0.0, 1.1.0, 1.2.0) estarán disponibles el 15 de marzo de 2019.
Los clientes que ejecutan los servicios de Fargate deben llamar a UpdateService con "--force-new-deployment" habilitado para implementar todas las nuevas tareas en la última versión 1.3 de la plataforma. Los clientes que ejecutan tareas independientes deben terminar las tareas existentes y volver a iniciarlas con la última versión. Las instrucciones específicas se pueden encontrar en la documentación sobre actualizaciones de Fargate.
Todas las tareas que no se actualicen a una versión parcheada se eliminarán antes del 19 de abril de 2019. Los clientes que utilizan tareas independientes deben implementar nuevas tareas para reemplazar las que se hayan eliminado. Se pueden encontrar detalles adicionales en la documentación sobre la Tarea de eliminación de Fargate.
AWS IoT Greengrass
Existen versiones actualizadas de AWS IoT GreenGrass core para 1.7.1 y 1.6.1. Las versiones actualizadas requieren características disponibles en la versión 3.17 o superior del núcleo de Linux. Las instrucciones sobre cómo actualizar su núcleo se pueden encontrar aquí.
Como práctica recomendada de seguridad general, sugerimos a los clientes que ejecuten cualquier versión de GreenGrass core, que la actualicen a la versión 1.7.1. Las instrucciones para la actualización inalámbrica se pueden encontrar aquí.
AWS Batch
Se encuentra disponible una AMI optimizada de Amazon ECS actualizada como AMI de entornos informáticos predeterminada. Como práctica recomendada de seguridad general, sugerimos a los clientes de Batch que sustituyan sus actuales entornos informáticos por la última AMI disponible. Las instrucciones para reemplazar los entornos informáticos están disponibles en la documentación de productos Batch.
Los clientes de Batch que no utilizan la AMI predeterminada deben comunicarse con el proveedor del sistema operativo para obtener las actualizaciones necesarias a fin de resolver problemas. Las instrucciones para personalizar la AMI de Batch están disponibles en la documentación de productos Batch.
AWS Elastic Beanstalk
Se encuentran disponibles versiones actualizadas de la plataforma AWS Elastic Beanstalk Docker. Los clientes que utilicen las actualizaciones administradas de la plataforma se actualizarán automáticamente a la última versión de la plataforma en el período de mantenimiento seleccionado sin necesidad de realizar ninguna acción. Los clientes también pueden realizar la actualización inmediatamente desde la página de configuración de las actualizaciones administradas y hacer clic en el botón “Apply Now” (Aplicar ahora). Los clientes que no tengan habilitadas las actualizaciones administradas de la plataforma pueden actualizar la versión de la plataforma de su entorno siguiendo las instrucciones que se indican aquí.
AWS Cloud9
Está disponible una versión actualizada del entorno AWS Cloud9 con Amazon Linux. De forma predeterminada, a los clientes se les aplicarán parches de seguridad en el primer arranque. Los clientes que tengan entornos AWS Cloud9 basados en EC2 deben implementar nuevas instancias desde la última versión de AWS Cloud9. Puede obtener más información en el Centro de seguridad de Amazon Linux.
Los clientes de AWS Cloud9 que utilizan entornos SSH que no están compilados con Amazon Linux deben comunicarse con el proveedor del sistema operativo para obtener las actualizaciones necesarias a fin de resolver estos problemas.
AWS SageMaker
Está disponible una versión actualizada de Amazon SageMaker. Los clientes que utilizan los contenedores de algoritmo o los contenedores de marco de trabajo predeterminados de Amazon SageMaker para la formación, el rendimiento, la transformación en lotes o los puntos de enlace no se verán afectados. Los clientes que ejecutan trabajos de etiquetado o compilación tampoco se verán afectados. Los clientes que no utilizan portátiles de Amazon SageMaker para ejecutar contenedores Docker no se verán afectados. Todos los trabajos de puntos de enlace, etiquetado, formación, rendimiento, compilación y transformación en lotes publicados el 11 de febrero o con posterioridad incluyen la última actualización sin que sea necesaria ninguna acción por parte del cliente. Todos los portátiles de Amazon SageMaker publicados a partir del 11 de febrero con instancias en la CPU y todos los portátiles de Amazon SageMaker lanzados a partir del 13 de febrero a las 18:00 PT con instancias en la GPU incluyen las últimas actualizaciones sin que sea necesaria ninguna acción por parte del cliente.
AWS recomienda a los clientes que realizan tareas de formación, rendimiento y transformación en lotes con código personalizado creado antes del 11 de febrero que detengan e inicien sus trabajos para incluir la última actualización. Estas acciones pueden realizarse desde la consola de Amazon SageMaker o siguiendo las instrucciones aquí.
Amazon SageMaker actualiza automáticamente todos los puntos de enlace en servicio con el software más reciente cada cuatro semanas. Se espera que todos los puntos de enlace creados antes del 11 de febrero se actualicen antes del 11 de marzo. Si hay algún problema con las actualizaciones automáticas y los clientes deben tomar medidas para actualizar sus puntos de enlace, Amazon SageMaker publicará una notificación en el Personal Health Dashboard de los clientes. Los clientes que deseen actualizar sus puntos de enlace con anterioridad, pueden hacerlo manualmente desde la consola de Amazon SageMaker o mediante la acción de la API UpdateEndpoint en cualquier momento. Recomendamos a los clientes que tengan los puntos de enlace con la función de escalado automático activada, que tomen además la precaución de seguir las instrucciones aquí.
AWS recomienda a los clientes que ejecutan contenedores Docker en portátiles de Amazon SageMaker que detengan e inicien sus instancias de portátiles de Amazon SageMaker para obtener el último software disponible. Esto puede realizarse desde la consola de Amazon SageMaker. Opcionalmente, los clientes pueden detener primero la instancia del portátil utilizando la API StopNotebookInstance y, a continuación, iniciar la instancia del portátil utilizando la API StartNotebookInstance.
AWS RoboMaker
Está disponible una versión actualizada del entorno de desarrollo de AWS RoboMaker. Los nuevos entornos de desarrollo utilizarán la última versión. Como práctica recomendada de seguridad general, AWS sugiere a los clientes que utilizan los entornos de desarrollo de RoboMaker que mantengan sus entornos Cloud9 actualizados a la última versión.
Está disponible una versión actualizada de AWS IoT GreenGrass core. Todos los clientes que utilicen RoboMaker Fleet Management deben actualizar GreenGrass core a la versión 1.7.1. Las instrucciones para la actualización inalámbrica se pueden encontrar aquí.
AMI de aprendizaje profundo de AWS
Las versiones actualizadas de la AMI Base de aprendizaje profundo y de la AMI de aprendizaje profundo para Amazon Linux y Ubuntu están disponibles en el AWS Marketplace. AWS sugiere a los clientes que han utilizado Docker con su AMI de aprendizaje profundo o con la AMI base de aprendizaje profundo, implementar nuevas instancias de la última versión de la AMI (v21.2 o posterior para la AMI de aprendizaje profundo en Amazon Linux y Ubuntu, v16.2 o posterior para la AMI base de aprendizaje profundo en Amazon Linux y v15.2 o posterior para la AMI base de aprendizaje profundo en Ubuntu). Puede obtener más información en el Centro de seguridad de Amazon Linux.