Está viendo una versión anterior de este boletín de seguridad. Para acceder a la versión más actual, consulte “Problema de seguridad de contenedor (CVE-2019-5736)”.
11 de febrero de 2019, 12:00 h PST
Identificador de CVE: CVE-2019-5736
AWS está al tanto del problema de seguridad revelado recientemente que afecta a varios sistemas de administración de contenedores de código abierto (CVE-2019-5736). A excepción de los servicios de AWS que se indican a continuación, no se requiere ninguna acción por parte del cliente para resolver este problema.
Amazon Linux
Una versión actualizada de Docker está disponible para los repositorios de la AMI de Amazon Linux 2018.03 (ALAS-2019-1156) y de Amazon Linux 2 (ALAS-2019-1156). AWS recomienda a los clientes que utilicen Docker en Amazon Linux lanzar nuevas instancias a partir de la última versión de la AMI. Puede encontrar más información en el Centro de seguridad de Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Ya están disponibles las AMI optimizadas para Amazon ECS, entre ellas la AMI de Amazon Linux, la AMI de Amazon Linux 2 y la AMI optimizada para GPU. Como práctica recomendada de seguridad general, se aconseja a los clientes de ECS que actualicen sus configuraciones para lanzar nuevas instancias de contenedor a partir de la última versión de la AMI. Los clientes deben reemplazar las instancias de contenedor existentes con la nueva versión de la AMI para solucionar el problema descrito anteriormente. Las instrucciones para reemplazar las instancias de contenedor existentes se pueden encontrar en la documentación de ECS para la AMI de Amazon Linux, la AMI de Amazon Linux 2 y la AMI optimizada para GPU.
Para los clientes de Linux que no utilicen la AMI optimizada para ECS, se recomienda que se comuniquen con el proveedor de su sistema operativo, software o AMI a fin de obtener las actualizaciones y las instrucciones necesarias. Las instrucciones de Amazon Linux están disponibles en el Centro de seguridad de Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Ya está disponible la versión actualizada de la AMI optimizada para Amazon EKS en AWS Marketplace. Como práctica recomendada de seguridad general, se aconseja a los clientes de EKS que actualicen sus configuraciones para lanzar nuevos nodos de trabajo a partir de la última versión de la AMI. Los clientes deben reemplazar los nodos de trabajo existentes con la nueva versión de la AMI para solucionar el problema descrito anteriormente. Las instrucciones sobre cómo actualizar los nodos de trabajo se pueden encontrar en la documentación de EKS.
Los clientes de Linux que no utilicen la AMI optimizada para EKS deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas. Las instrucciones de Amazon Linux están disponibles en el Centro de seguridad de Amazon Linux.
AWS Fargate
Ya está disponible la versión actualizada de Fargate para la versión 1.3 de la plataforma que mitiga los problemas descritos en CVE-2019-5736. Las versiones reparadas con parches de las versiones anteriores de la plataforma (1.0.0, 1.1.0, 1.2.0) estarán disponibles desde el 15 de marzo de 2019.
Los clientes que ejecuten los servicios de Fargate deben llamar a UpdateService con la opción “--force-new-deployment” (Forzar nueva implementación) habilitada para lanzar todas las tareas nuevas en la última versión 1.3 de la plataforma. Los clientes que ejecuten tareas independientes deben terminar las tareas existentes y volver a lanzarlas con la última versión. Puede encontrar las instrucciones específicas en la documentación sobre actualizaciones de Fargate.
Todas las tareas que no estén actualizadas a una versión reparada con parches se retirarán antes del 19 de abril de 2019. Los clientes que usen tareas independientes deben lanzar nuevas tareas para reemplazar las que se hayan retirado. Se pueden encontrar detalles adicionales en la documentación sobre Retirada de tareas de Fargate.
AWS IoT Greengrass
Existen versiones actualizadas de AWS IoT Greengrass Core para 1.7.1 y 1.6.1. Las versiones actualizadas requieren características disponibles en el kernel de Linux con la versión 3.17 o una versión superior. Puede encontrar las instrucciones sobre cómo actualizar el kernel aquí.
Como práctica recomendada de seguridad general, se aconseja a los clientes que ejecutan cualquier versión de Greengrass Core que la actualicen a la versión 1.7.1. Puede encontrar las instrucciones para las actualizaciones inalámbricas aquí.
AWS Batch
La versión actualizada de la AMI optimizada para Amazon ECS se encuentra disponible como la AMI de entorno informático predeterminada. Como práctica recomendada de seguridad general, se aconseja a los clientes de Batch que reemplacen sus entornos informáticos existentes con la última AMI disponible. Las instrucciones para reemplazar el entorno informático están disponibles en la documentación del producto Batch.
Los clientes de Batch que no utilicen la AMI predeterminada deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas. Las instrucciones para personalizar la AMI de Batch están disponibles en la documentación del producto Batch.
AWS Elastic Beanstalk
Se encuentran disponibles versiones actualizadas de la plataforma basada en Docker de AWS Elastic Beanstalk. Los clientes que utilicen actualizaciones de plataforma administradas se actualizarán automáticamente a la última versión de la plataforma durante el periodo de mantenimiento seleccionado sin necesidad de realizar ninguna acción. Los clientes también pueden realizar la actualización de manera inmediata desde la página de configuración “Managed Updates” (Actualizaciones administradas) haciendo clic en el botón “Apply Now” (Aplicar ahora). Los clientes que no tengan habilitadas las actualizaciones de plataforma administradas pueden actualizar la versión de la plataforma para su entorno siguiendo las instrucciones que se indican aquí.
AWS Cloud9
Se encuentra disponible una versión actualizada del entorno AWS Cloud9 con Amazon Linux. Los clientes contarán con parches de seguridad que se aplicarán desde el primer arranque de forma predeterminada. Los clientes que ya tengan entornos AWS Cloud9 basados en EC2 deben lanzar instancias nuevas a partir de la última versión de AWS Cloud9. Puede encontrar más información en el Centro de seguridad de Amazon Linux.
Los clientes de AWS Cloud9 que utilicen entornos SSH que no se hayan creado con Amazon Linux deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas.
AWS SageMaker
Se encuentra disponible una versión actualizada de Amazon SageMaker. Los clientes que utilicen los contenedores de algoritmos o los contenedores de marcos predeterminados de Amazon SageMaker para entrenamiento, ajustes, transformaciones en lotes o puntos de enlace no se verán afectados. Los clientes que ejecuten trabajos de etiquetado o de compilación tampoco se verán afectados. Los clientes que no utilicen los blocs de notas de Amazon SageMaker para ejecutar los contenedores Docker no se verán afectados. Además, todos los blocs de notas de Amazon SageMaker lanzados a partir del 11 de febrero con instancias de CPU incluirán las últimas actualizaciones y no necesitarán ninguna acción por parte del cliente. Todos los trabajos de puntos de enlace, etiquetado, entrenamiento, ajustes, compilaciones y transformaciones en lotes lanzados a partir del 11 de febrero incluirán la última actualización y no necesitarán ninguna acción por parte del cliente.
A los clientes que ejecuten trabajos de entrenamiento, ajustes y transformación en lotes con códigos personalizados que se crearon antes del 11 de febrero, AWS aconseja detener e iniciar sus trabajos para incluir la última actualización. Estas acciones pueden llevarse a cabo desde la consola de Amazon SageMaker o mediante las instrucciones que se indican aquí.
Amazon SageMaker actualiza automáticamente todos los puntos de enlace en servicio con el software más reciente cada cuatro semanas. Se espera que todos los puntos de enlace creados antes del 11 de febrero se actualicen antes del 11 de marzo. Si hubiera algún problema relacionado con las actualizaciones automáticas, y los clientes tuviesen que llevar a cabo alguna acción para actualizar sus puntos de enlace, Amazon SageMaker publicará una notificación en el AWS Personal Health Dashboard del cliente. Los clientes que deseen actualizar sus puntos de enlace con anterioridad pueden hacerlo de forma manual desde la consola de Amazon SageMaker o a través de la acción de la API UpdateEndpoint en cualquier momento. Recomendamos a los clientes que tengan puntos de enlace con el escalado automático habilitado tomar la precaución adicional de seguir las instrucciones que se indican aquí.
AWS recomienda a los clientes que ejecuten contenedores Docker en los blocs de notas de Amazon SageMaker ejecutados con instancias de CPU que detengan e inicien sus instancias de bloc de notas de Amazon SageMaker para obtener el último software disponible. Esto se puede lograr desde la consola de Amazon SageMaker. De forma opcional, los clientes primero pueden detener la instancia de bloc de notas a través de la API StopNotebookInstance para luego iniciarla con la API StartNotebookInstance.
La versión actualizada de los blocs de notas de Amazon SageMaker con instancias de GPU estará disponible para clientes poco tiempo después de que se publiquen los parches de Nvidia. Este boletín se actualizará cuando haya una versión actualizada disponible. Los clientes que ejecuten contenedores Docker en blocs de notas con instancias de GPU pueden implementar acciones preventivas si detienen las instancias de blocs de notas a través de la consola de forma temporal o si utilizan la API StopNotebookInstance para luego iniciar la instancia de bloc de notas a través de StartNotebookInstance una vez que esté disponible la versión actualizada.
AWS RoboMaker
Una versión actualizada del entorno de desarrollo de AWS RoboMaker estará disponible poco después de la publicación de los parches de Canonical y Docker. Este boletín se actualizará cuando la actualización esté disponible. Como práctica recomendada de seguridad general, AWS aconseja a los clientes que utilizan los entornos de desarrollo de AWS RoboMaker que mantengan sus entornos Cloud9 actualizados con la última versión.
El 11 de febrero de 2019 estará disponible una versión actualizada de AWS IoT Greengrass Core. Este boletín se actualizará cuando la versión actualizada esté disponible. Todos los clientes que utilicen la administración de flotas de RoboMaker deben actualizar Greengrass Core a la última versión una vez que esté disponible. Los clientes deben seguir estas instrucciones para recibir la actualización.
AMI de aprendizaje profundo de AWS
Las versiones actualizadas de la AMI básica de aprendizaje profundo y de la AMI de aprendizaje profundo para Amazon Linux están disponibles en AWS Marketplace. AWS recomienda a los clientes que hayan utilizado Docker con la AMI de aprendizaje profundo o con la AMI básica de aprendizaje profundo que lancen nuevas instancias de la última versión de la AMI (v21.1 para la AMI de aprendizaje profundo y v16.1 para la AMI básica de aprendizaje profundo en Amazon Linux). Puede obtener más información en el Centro de seguridad de Amazon Linux.
AWS también recomienda a los clientes que hayan utilizado Docker con la AMI de aprendizaje profundo o con la AMI básica de aprendizaje profundo en Ubuntu que lancen nuevas instancias de la última versión de AMI y que sigan estas instrucciones para actualizar Docker (asegúrese de seguir todos los pasos de instalación).
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
La versión actualizada de la AMI básica de aprendizaje profundo y de la AMI de aprendizaje profundo para Ubuntu estará disponible para su descarga una vez que se publiquen todos los parches de seguridad relevantes. Este boletín se actualizará cuando las AMI actualizadas estén disponibles.
Además, AWS recomienda a los clientes que monitoreen el boletín de seguridad de Nvidia para conocer las actualizaciones realizadas a nvidia-docker2 y a productos relacionados.