Está viendo la versión anterior de este boletín de seguridad. Para obtener la versión más reciente, visite: "Problema de seguridad de contenedor (CVE-2019-5736)".
11 de febrero de 2019, 7:00 AM PST
Identificador de CVE: CVE-2019-5736
AWS es consciente de los recientes problemas de seguridad revelados que afectan a varios sistemas de administración de contenedores de código abierto (CVE-2019-5736). A excepción de los servicios de AWS que se indican a continuación, no se requieren acciones por parte de los clientes para resolver este problema.
Amazon Linux
Una versión actualizada de Docker está disponible para los repositorios de Amazon Linux 2 (ALAS-2019-1156) y los repositorios de la AMI de Amazon Linux 2018.03 (ALAS-2019-1156). AWS recomienda a los clientes que utilizan Docker en Amazon Linux que implementen nuevas instancias desde la última versión de la AMI. Puede obtener más información en el Centro de seguridad de Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Las AMI optimizadas para Amazon ECS actualizadas, incluida la AMI de Amazon Linux, la AMI de Amazon Linux 2 y la AMI optimizada para GPU, estarán disponibles el 11 de febrero de 2019. Actualizaremos este boletín cuando las AMI actualizadas estén disponibles. Como práctica recomendada de seguridad general, sugerimos a los clientes de ECS que actualicen sus configuraciones para que implementen nuevas instancias de contenedores a partir de la última versión de AMI. Los clientes deben reemplazar las instancias de contenedor existentes con la nueva versión de la AMI para resolver el problema descrito anteriormente. Las instrucciones sobre cómo hacerlo se pueden encontrar en la documentación de ECS para la AMI de Amazon Linux, la AMI de Amazon Linux 2 y la AMI optimizada para GPU.
Para los clientes de Linux que no utilicen la AMI optimizada para ECS, se recomienda que consulten con el proveedor del sistema operativo, el software o la AMI alternativos o de terceros a fin de obtener las actualizaciones e instrucciones necesarias. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Estará disponible una AMI optimizada de Amazon EKS actualizada el 11 de febrero de 2019. Actualizaremos este boletín cuando las AMI actualizadas estén disponibles. Como práctica recomendada de seguridad general, sugerimos a los clientes de EKS que actualicen sus configuraciones para que implementen nuevos nodos de trabajo a partir de la última versión de AMI. Los clientes deben reemplazar los nodos de trabajo existentes con la nueva versión de la AMI para resolver el problema descrito anteriormente. Las instrucciones sobre cómo actualizar los nodos de trabajo se pueden encontrar en la documentación de EKS.
Los clientes de Linux que no utilizan la AMI optimizada de EKS deben ponerse en contacto con el proveedor del sistema operativo para obtener las actualizaciones necesarias a fin de resolver estos problemas. Las instrucciones sobre Amazon Linux están disponibles en el Centro de seguridad de Amazon Linux.
AWS Fargate
Una versión actualizada de Fargate está disponible para la versión 1.3 de la plataforma que mitiga los problemas descritos en CVE-2019-5736. Las versiones parcheadas de las versiones anteriores de la plataforma (1.0.0, 1.1.0, 1.2.0) estarán disponibles el 15 de marzo de 2019.
Los clientes que ejecutan los servicios de Fargate deben llamar a UpdateService con "--force-new-deployment" habilitado para implementar todas las nuevas tareas en la última versión 1.3 de la plataforma. Los clientes que ejecutan tareas independientes deben terminar las tareas existentes y volver a iniciarlas con la última versión. Las instrucciones específicas se pueden encontrar en la documentación sobre actualizaciones de Fargate.
Todas las tareas que no se actualicen a una versión parcheada se eliminarán antes del 19 de abril de 2019. Los clientes que utilizan tareas independientes deben implementar nuevas tareas para reemplazar las que se hayan eliminado. Se pueden encontrar detalles adicionales en la documentación sobre la Tarea de eliminación de Fargate.
AWS IoT Greengrass
Las versiones actualizadas de AWS IoT Greengrass core estarán disponibles el 11 de febrero de 2019. Este boletín se actualizará cuando las versiones parcheadas estén disponibles. Las versiones actualizadas requieren características disponibles en la versión 3.17 o superior del núcleo de Linux. Las instrucciones sobre cómo actualizar su núcleo se pueden encontrar aquí.
Como práctica recomendada de seguridad general, sugerimos a los clientes que ejecuten cualquier versión de Greengrass core, que la actualicen a la versión 1.7.1. Las instrucciones para la actualización inalámbrica se pueden encontrar aquí.
AWS Batch
Estará disponible una AMI optimizada de Amazon ECS actualizada el 11 de febrero de 2019 como AMI de entornos informáticos predeterminada. Este boletín se actualizará cuando la AMI esté disponible. Como práctica recomendada de seguridad general, sugerimos a los clientes de Batch que sustituyan sus actuales entornos informáticos por la última AMI una vez que esté disponible. Si un cliente de Batch necesita actualizar inmediatamente, se le aconseja anular la AMI predeterminada con la última AMI optimizada para ECS al crear un entorno informático. Las instrucciones para reemplazar los entornos informáticos están disponibles en la documentación de productos Batch.
Los clientes de Batch que no utilizan la AMI predeterminada deben ponerse en contacto con el proveedor del sistema operativo para obtener las actualizaciones necesarias a fin de resolver problemas. Las instrucciones para personalizar la AMI de Batch están disponibles en la documentación de productos Batch.
AWS Elastic Beanstalk
Las plataformas actualizadas de AWS Elastic Beanstalk Docker estarán disponibles el 11 de febrero de 2019. Este boletín se actualizará cuando las nuevas versiones de la plataforma estén disponibles. Los clientes que utilicen las actualizaciones administradas de la plataforma se actualizarán automáticamente a la última versión de la plataforma en el período de mantenimiento seleccionado sin necesidad de realizar ninguna acción. Los clientes también pueden realizar la actualización inmediatamente desde la página de configuración de las actualizaciones administradas y hacer clic en el botón “Apply Now” (Aplicar ahora). Los clientes que no tengan habilitadas las actualizaciones administradas de la plataforma pueden actualizar la versión de la plataforma de su entorno siguiendo las instrucciones que se indican aquí.
AWS Cloud9
Está disponible una versión actualizada del entorno AWS Cloud9 con Amazon Linux. De forma predeterminada, a los clientes se les aplicarán parches de seguridad en el primer arranque. Los clientes que tengan entornos AWS Cloud9 basados en EC2 deben implementar nuevas instancias desde la última versión de AWS Cloud9. Puede obtener más información en el Centro de seguridad de Amazon Linux.
Los clientes de AWS Cloud9 que utilicen entornos SSH que no están compilados con Amazon Linux deben ponerse en contacto con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas.
AWS SageMaker
Está disponible una versión actualizada de Amazon SageMaker. Los clientes que utilizan los contenedores de algoritmo o los contenedores de marco de trabajo predeterminados de Amazon SageMaker para la formación, el rendimiento, la transformación en lotes o los puntos de enlace no se verán afectados. Los clientes que ejecutan trabajos de etiquetado o compilación tampoco se verán afectados. Los clientes que no utilizan portátiles de Amazon SageMaker para ejecutar contenedores Docker no se verán afectados. Además, todos los portátiles de Amazon SageMaker lanzados el 11 de febrero o con posterioridad con instancias de CPU incluyen las últimas actualizaciones y no se requiere ninguna acción por parte del cliente. Todos los trabajos de puntos de enlace, etiquetado, formación, rendimiento, compilación y transformación en lotes lanzados el 11 de febrero o con posterioridad incluyen la última actualización y no se requiere ninguna acción por parte del cliente.
AWS recomienda a los clientes que realizan tareas de formación, rendimiento y transformación en lotes con código personalizado creado antes del 11 de febrero detener e iniciar sus trabajos para incluir la última actualización. Estas acciones pueden realizarse desde la consola de Amazon SageMaker o siguiendo las instrucciones aquí.
Amazon SageMaker actualiza automáticamente todos los puntos de enlace en servicio con el software más reciente cada cuatro semanas. Se espera que todos los puntos de enlace creados antes del 11 de febrero se actualicen antes del 11 de marzo. Si hay algún problema con las actualizaciones automáticas y los clientes deben tomar medidas para actualizar sus puntos de enlace, Amazon SageMaker publicará una notificación en el Personal Health Dashboard de los clientes. Los clientes que deseen actualizar sus puntos de enlace con anterioridad, pueden hacerlo manualmente desde la consola de Amazon SageMaker o mediante la acción de la API UpdateEndpoint en cualquier momento. Recomendamos a los clientes que tengan los puntos de enlace con la función de escalado automático activada, que tomen además la precaución de seguir las instrucciones aquí.
AWS recomienda a los clientes que ejecutan contenedores Docker en portátiles de Amazon SageMaker con instancias de CPU que detengan e inicien sus instancias de portátiles de Amazon SageMaker para obtener el último software disponible. Esto puede realizarse desde la consola de Amazon SageMaker. Opcionalmente, los clientes pueden detener primero la instancia del portátil utilizando la API StopNotebookInstance y, a continuación, iniciar la instancia del portátil utilizando la API StartNotebookInstance.
Estará disponible una versión actualizada de los portátiles de Amazon SageMaker con instancias de GPU para los clientes poco después de que se publiquen los parches de Nvidia. Este boletín se actualizará cuando haya una versión actualizada disponible. Los clientes que ejecutan contenedores Docker en portátiles con instancias de GPU pueden tomar medidas preventivas deteniendo temporalmente las instancias del portátil a través de la consola o utilizando la API StopNotebookInstance e iniciando la instancia del portátil con StartNotebookInstance una vez que esté disponible la versión actualizada.
AWS RoboMaker
Una versión actualizada del entorno de desarrollo de AWS RoboMaker estará disponible poco después de la publicación de los parches de Canonical y Docker. Este boletín se actualizará cuando la actualización esté disponible. Como práctica recomendada de seguridad general, AWS sugiere a los clientes que utilizan los entornos de desarrollo de RoboMaker que mantengan sus entornos Cloud9 actualizados a la última versión.
El 11 de febrero de 2019 estará disponible una versión actualizada de AWS IoT Greengrass core. Este boletín se actualizará cuando la versión actualizada esté disponible. Todos los clientes que utilicen RoboMaker Fleet Management deben actualizar el Greengrass core a la última versión una vez que el Greengrass core actualizado esté disponible. Los clientes deben seguir estas instrucciones para recibir la actualización.
AMI de aprendizaje profundo de AWS
AWS recomienda a los clientes que han utilizado Docker con su AMI de aprendizaje profundo o con su AMI Base de aprendizaje profundo en Amazon Linux que implementen nuevas instancias de la última versión de AMI y ejecuten el siguiente comando para actualizar Docker:
sudo yum upgrade docker
Una versión actualizada de la AMI Base de aprendizaje profundo y de la AMI de aprendizaje profundo estará disponible para su descarga después de que se publiquen todos los parches de seguridad relevantes. Este boletín se actualizará cuando las nuevas AMI estén disponibles.
Puede obtener más información en el Centro de seguridad de Amazon Linux.
Después de que se publiquen las actualizaciones de Docker en Ubuntu para los problemas descritos en CVE-2019-5736, AWS recomienda que los clientes que han utilizado Docker con su AMI de aprendizaje profundo o su AMI Base de aprendizaje profundo en Ubuntu implementen nuevas instancias de la última versión de AMI y sigan estas instrucciones para actualizar Docker (asegúrese de seguir todos los pasos de instalación):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
AWS también recomienda que los clientes monitoricen el Boletín de Seguridad de Nvidia en busca de actualizaciones de nvidia-docker2 y productos relacionados.