Esta es una actualización para este problema.
Los archivos binarios de AWS IoT Greengrass Core V1 (1.10.4 y 1.11.3) con runC parcheado ya están disponibles para su descarga (https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html). El iniciador de Lambda de Greengrass V2 v2.0.6 actualizado (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html) también está disponible en la consola de AWS IoT. Recomendamos a los clientes de Greengrass que actualicen a los archivos binarios y al iniciador de Lambda más recientes para incorporar el parche de runC más reciente.
Está viendo una versión anterior de este boletín de seguridad.
AWS está al tanto del problema de seguridad recientemente revelado que presenta runC, que es un componente de varios sistemas de administración de contenedores (CVE-2021-30465). A excepción de los servicios de AWS que se indican a continuación, no se requiere ninguna acción por parte del cliente para resolver este problema.
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS ha publicado imágenes actualizadas optimizadas para ECS de Amazon Machine Image (AMI) con el tiempo de ejecución del contenedor parcheado el 21 de mayo de 2021. Puede encontrar más información sobre la AMI optimizada para ECS en https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
Mientras tanto, para resolver este problema, recomendamos que los clientes de ECS ejecuten “yum update --security” para obtener este parche. Está disponible más información en https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html.
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS ha publicado imágenes actualizadas optimizadas para EKS de Amazon Machine Image (AMI) con el tiempo de ejecución del contenedor parcheado. Puede encontrar más información sobre la AMI optimizada para EKS en https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Recomendamos que los clientes de EKS reemplacen todos los nodos de trabajo para utilizar la última versión de la AMI optimizada para EKS. Las instrucciones para actualizar los nodos de trabajo están disponibles en https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Bottlerocket
Amazon ha publicado AMI de Bottlerocket y actualizaciones in situ. La actualización a la actualización in situ más reciente o el reemplazo de las instancias con las AMI más recientes resolverá este problema.
Si utiliza el operador de actualización Bottlerocket para Kubernetes, se espera que los nodos se comiencen a actualizar en un día y que todos los nodos se actualicen en una semana. Los clientes pueden realizar una actualización más rápida de forma manual a través de dos llamadas a la API: apiclient set updates.ignore-waves=true y apiclient update apply --check --reboot. Una vez completadas las actualizaciones, vuelva a la configuración predeterminada con apiclient set updates.ignore-waves=false.
Amazon Linux y Amazon Linux 2
Una versión actualizada de runc está disponible para los repositorios adicionales de Amazon Linux 2 (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) y para los repositorios de la AMI de Amazon Linux 2018.03 (*runc-1.0.0-0.2.20210225.git12644e6.3.amzn1*). AWS recomienda que los clientes que usen contenedores en Amazon Linux actualicen a la versión más reciente de runc y reinicien cualquier contenedor en ejecución.
AWS Cloud9
Se encuentra disponible una versión actualizada del entorno AWS Cloud9 con Amazon Linux. Los clientes contarán con parches de seguridad que se aplicarán desde el primer arranque de forma predeterminada. Los clientes que ya tengan entornos AWS Cloud9 basados en EC2 deben lanzar instancias nuevas a partir de la última versión de AWS Cloud9. Puede encontrar más información en el Centro de seguridad de Amazon Linux (https://alas.aws.amazon.com/).
Los clientes de AWS Cloud9 que utilicen entornos SSH que no se hayan creado con Amazon Linux deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas.
AWS IoT Greengrass
Los archivos binarios actualizados de AWS IoT Greengrass Core V1 y el iniciado de Lambda de Greengrass V2 estarán disponibles el 15 de junio como versiones más recientes de Greengrass. Este boletín se actualizará cuando los parches estén disponibles.
Greengrass utiliza la biblioteca runC para ejecutar funciones Lambda dentro de un contenedor que cumple los requisitos de OCI en dispositivos Greengrass Core. Las funciones Lambda implementadas en los Greengrass Cores se proporcionan a Greengrass a través de API en la nube autorizadas y autenticadas, CLI local autorizada y autenticada (si está habilitada), o a través del acceso raíz local. Esto significa que Greengrass solo implementará y ejecutará las funciones Lambda previstas, y no es necesario realizar ninguna acción mientras las funciones Lambda se implementen a partir de orígenes de confianza. Como práctica recomendada, los clientes solo deben implementar Lambdas de fuentes de confianza.
AMI de aprendizaje profundo de AWS
Las versiones actualizadas de la AMI Base de aprendizaje profundo y de la AMI de aprendizaje profundo para Amazon Linux y Amazon Linux2 están disponibles en la consola de AWS EC2 y el AWS Marketplace. AWS recomienda a los clientes que hayan utilizado Docker con la AMI de base de aprendizaje profundo o la AMI de aprendizaje profundo lanzar nuevas instancias de la versión más reciente de la AMI (v35.0 o posterior para la AMI de base de aprendizaje profundo en Amazon Linux, v38.0 o posterior para la AMI de base de aprendizaje profundo en Amazon Linux2, v45.0 o posterior para la AMI de base de aprendizaje profundo en Amazon Linux y Amazon Linux2). Puede obtener más información en el Centro de seguridad de Amazon Linux.
AWS Batch
Después de la actualización de la AMI:
La versión actualizada de la AMI optimizada para Amazon ECS se encuentra disponible como la AMI de entorno informático predeterminada. Recomendamos a los clientes de Batch que sustituyan los entornos informáticos existentes por la AMI más reciente disponible. Las instrucciones para reemplazar el entorno informático están disponibles en la documentación del producto Batch.
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments).
Los clientes de Batch que no utilicen la AMI predeterminada deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas. Hay instrucciones para las AMI personalizadas de Batch disponibles en la documentación del producto de Batch (https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html).
AWS Elastic Beanstalk
Se encuentran disponibles versiones actualizadas de la plataforma basada en Docker de AWS Elastic Beanstalk. Recomendamos a los clientes que realicen la actualización inmediatamente. Para ello, deben ir a la página de configuración de Actualizaciones administradas y hacer clic en el botón “Aplicar ahora”. Los clientes que no tengan habilitadas las actualizaciones de plataforma administradas pueden actualizar la versión de la plataforma para su entorno siguiendo las instrucciones que se indican aquí. Los clientes que utilicen actualizaciones de plataforma administradas se actualizarán automáticamente a la última versión de la plataforma durante el periodo de mantenimiento seleccionado sin necesidad de realizar ninguna acción. Las notas de la versión también están disponibles.