Identificador de CVE: CVE-2020-8558

Esta es una actualización para este problema.

AWS está al tanto de un problema de seguridad que la comunidad de Kubernetes ha desvelado recientemente y que afecta a la red del contenedor de Linux (CVE-2020-8558). Este problema puede permitir que los contenedores que se ejecutan en el mismo host o en hosts adyacentes (aquellos que se ejecutan en la misma LAN o en un dominio de capa 2), alcancen los servicios UDP y TCP vinculados al host local (127.0.0.1).

Todos los controles de seguridad de AWS destinados a mantener el aislamiento entre los clientes de Amazon ECS y Amazon EKS continúan funcionando correctamente. El problema no presenta riesgo de acceso a datos entre cuentas. Los procesos dentro de un contenedor en un host pueden conseguir acceso de red no deseado a otros contenedores del mismo host o en otros hosts dentro de la misma VPC y subred. Se requiere que el cliente tome acciones. Los pasos a seguir para solucionar inmediatamente el problema están disponibles en https://github.com/aws/containers-roadmap/issues/976. Todos los clientes de Amazon ECS y Amazon EKS deben actualizar a la AMI más reciente.

AWS Fargate
AWS Fargate no está afectado. El cliente no tiene que hacer nada.

Amazon Elastic Container Service (Amazon ECS)
Ya está disponible la versión actualizada de las AMI optimizadas para Amazon ECS. Como práctica recomendada de seguridad general, se aconseja a los clientes de ECS que actualicen sus configuraciones para lanzar nuevas instancias de contenedor a partir de la última versión de la AMI.

Los clientes pueden actualizar sus AMI de acuerdo con la documentación de ECS.

Amazon Elastic Kubernetes Service (Amazon EKS)
Ya está disponible la versión actualizada de las AMI optimizadas para Amazon EKS. Como práctica recomendada de seguridad general, se aconseja a los clientes de EKS que actualicen sus configuraciones para lanzar nuevos nodos de trabajo a partir de la última versión de la AMI.

Los clientes que utilicen grupos de nodos gestionados pueden actualizarlos de acuerdo con la documentación de EKS. Los clientes con nodos de trabajo autoadministrados deben sustituir las instancias existentes con la nueva versión de la AMI de acuerdo con la documentación de EKS

Identificador de CVE: CVE-2020-8558

Está viendo una versión anterior de este boletín de seguridad.

AWS está al tanto de un problema de seguridad que la comunidad de Kubernetes ha desvelado recientemente y que afecta a la red del contenedor de Linux (CVE-2020-8558). Este problema puede permitir que los contenedores que se ejecutan en los mismos hosts o en hosts adyacentes (aquellos que se ejecutan en la misma LAN o en un dominio de capa 2), alcancen los servicios UDP y TCP vinculados al host local (127.0.0.1).

AWS Fargate no está afectado. El cliente no tiene que hacer nada.

Todos los controles de seguridad de AWS destinados a mantener el aislamiento entre los clientes de Amazon ECS y Amazon EKS continúan funcionando correctamente. El problema no presenta riesgo de acceso a datos entre cuentas. Los procesos dentro de un contenedor en un host pueden conseguir acceso de red no deseado a otros contenedores del mismo host o en otros hosts dentro de la misma VPC y subred. Se requiere que el cliente tome acciones. Los pasos a seguir para solucionar inmediatamente el problema están disponibles en https://github.com/aws/containers-roadmap/issues/976

Publicaremos imágenes de Amazon Machine actualizados tanto para Amazon ECS como para Amazon EKS, y los clientes deben actualizar las AMI en cuanto estas estén disponibles.

AWS Fargate
AWS Fargate no está afectado. El cliente no tiene que hacer nada.

Amazon Elastic Container Service (Amazon ECS)
Amazon ECS publicará el 9 de julio de 2020 AMI optimizadas para ECS actualizadas, incluidas la AMI de Amazon Linux, la AMI de Amazon Linux 2, la AMI optimizada para GPU, la AMI optimizada para ARM y la AMI optimizada para inferencia. La actualización para utilizar una de estas AMI solucionará el problema. Actualizaremos este boletín cuando las AMI actualizadas estén disponibles.

Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS publicará el 9 de julio de 2020 AMI optimizadas para EKS actualizadas, incluidas la AMI optimizada para EKS de Amazon Linux 2 y la AMI acelerada optimizada para EKS para Kubernetes 1.14, 1.15 y 1.16. La actualización para utilizar una de estas AMI solucionará el problema. Actualizaremos este boletín cuando las AMI actualizadas estén disponibles.