Fecha de publicación inicial: 31/01/2024 13:30 h PST
Identificador de CVE: CVE-2024-21626

AWS está al tanto del problema de seguridad revelado recientemente que afecta al componente runc de varios sistemas de administración de contenedores de código abierto (CVE-2024-21626). A excepción de los servicios de AWS que se indican a continuación, no se requiere ninguna acción por parte del cliente para resolver este problema.

Amazon Linux
Hay una versión actualizada de runc disponible para Amazon Linux 1 (runc-1.1.11-1.0.amzn1), Amazon Linux 2 (runc-1.1.11-1.amzn2) y Amazon Linux 2023 (runc-1.1.11-1.amzn2023). AWS recomienda a los clientes que utilizan runc u otro software relacionado con contenedores que apliquen esas actualizaciones o una versión más reciente. Puede encontrar más información en el Centro de seguridad de Amazon Linux.

Sistema operativo Bottlerocket
Se incluirá una versión actualizada de runc en Bottlerocket 1.19.0, que se lanzará el 2 de febrero de 2024. AWS recomienda a los clientes que utilizan Bottlerocket que apliquen esta actualización o una versión más reciente. Se publicará más información en las Notas oficiales sobre seguridad de Bottlerocket y en las Notas de la versión de Bottlerocket.

Amazon Elastic Container Service (ECS)
Este CVE se ha parcheado en runc y hay disponible una versión actualizada de runc, la versión 1.1.11-1, como parte de las últimasimágenes de máquina de Amazon (AMI) optimizadas para Amazon ECS publicadas el 31 de enero de 2024. 

Recomendamos a los clientes de ECS que actualicen a estas AMI (o a la última versión disponible) o que realicen una “actualización de yum: seguridad” para obtener este parche. Consulte la guía del usuario “AMI optimizada para Amazon ECS” para obtener información adicional.  

Amazon Elastic Kubernetes Services (EKS)
Amazon EKS ha publicado imágenes de máquina de Amazon (AMI) optimizadas para EKS (versión v20240129) con la versión ejecutable del contenedor parcheada. Los clientes que utilicen grupos de nodos administrados pueden consultar la documentación de EKS y actualizar los grupos de nodos. Los clientes que utilizan Karpenter pueden actualizar sus nodos si siguen la documentación sobre desviaciones o selección de AMI. Los clientes que utilizan nodos de trabajo autoadministrados pueden reemplazar los nodos existentes si consultan la documentación de EKS.

 Amazon EKS Fargate tendrá una actualización disponible para los nuevos pods de los clústeres antes del 1 de febrero de 2024 y mostrará una versión de Kubelet que terminará en eks-680e576. Los clientes pueden verificar la versión de sus nodos si ejecutan kubectl get nodes. Los clientes deben eliminar sus pods actuales para recibir el parche después del 2 de febrero de 2024. Consulte la documentación “Introducción a AWS Fargate con Amazon EKS” para obtener información sobre cómo eliminar y crear pods de Fargate.

Amazon EKS Anywhere ha publicado la versión v0.18.6 de las imágenes actualizadas con la versión ejecutable del contenedor revisado. Los clientes pueden consultar la sección “Actualizar clúster” en la documentación de EKS Anywhere para obtener información sobre cómo actualizar los clústeres de modo que utilicen imágenes de máquinas virtuales revisadas.

AWS Elastic Beanstalk
Se encuentran disponibles versiones actualizadas de la plataforma basada en Docker (y ECS) de AWS Elastic Beanstalk. Los clientes que utilicen actualizaciones de plataforma administradas se actualizarán automáticamente a la última versión de la plataforma durante el periodo de mantenimiento seleccionado sin necesidad de realizar ninguna acción. Los clientes pueden realizar la actualización de manera inmediata desde la página de configuración Actualizaciones administradas si hacen clic en el botón “Aplicar ahora”. Los clientes que no tengan habilitadas las actualizaciones de plataforma administradas pueden actualizar la versión de la plataforma para su entorno si siguen la guía del usuario “Actualización de la versión de la plataforma del entorno de Elastic Beanstalk”.

Finch
Hay una versión actualizada de runc disponible para Finch en la última versión, v1.1.0. Los clientes deben actualizar su instalación de Finch en macOS para solucionar este problema. Las versiones de Finch se pueden descargar a través de la página de lanzamiento de GitHub del proyecto o al ejecutar “brew update” si instaló Finch a través de Homebrew.

AMI de aprendizaje profundo de AWS
El paquete runc afectado forma parte de nuestra AMI de aprendizaje profundo de Amazon Linux 2. Este paquete runc se extrae de las versiones anteriores de Amazon Linux 2. La AMI de aprendizaje profundo consumirá automáticamente el paquete parcheado más reciente cuando el equipo de Amazon Linux lo publique. Una vez publicado, los clientes afectados deberán utilizar la AMI de aprendizaje profundo más reciente para consumir las últimas actualizaciones de runc y mitigar el problema.

AWS Batch
Una AMI optimizada de Amazon ECS actualizada como AMI de entorno informático predeterminada está disponible. Como práctica recomendada de seguridad general, se aconseja a los clientes de Batch que reemplacen sus entornos informáticos existentes con la última AMI. Las instrucciones para reemplazar el entorno de computación están disponibles en la documentación del producto Batch.

Los clientes de Batch que no utilicen la AMI predeterminada deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas. Las instrucciones para personalizar la AMI de Batch están disponibles en la documentación del producto Batch.

Amazon SageMaker
Cualquier recurso de SageMaker, incluidas las instancias de bloc de notas de SageMaker, los trabajos de entrenamiento de SageMaker, los trabajos de procesamiento de SageMaker, los trabajos de transformación por lotes de SageMaker, SageMaker Studio y las inferencias de SageMaker, creado o reiniciado después del 2 de febrero de 2024, utilizará automáticamente la revisión. En el caso de las inferencias de SageMaker, todos los puntos de conexión activos que no se hayan vuelto a crear se revisarán automáticamente antes del 7 de febrero de 2024.
 

Puede plantear preguntas o inquietudes relacionadas con la seguridad a través de aws-security@amazon.com.