ID de boletín: AWS-2025-024
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 5/11/2025 8:45 PDT

Identificadores de CVE: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

AWS está al tanto de los problemas de seguridad revelados recientemente que afectan al componente runc de varios sistemas de administración de contenedores de código abierto (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) al lanzar nuevos contenedores. AWS no considera que los contenedores sean un límite de seguridad y no los utiliza para aislar a los clientes unos de otros. Estos problemas no suponen ningún riesgo entre clientes. Se recomienda fuertemente a los clientes de AWS que utilizan contenedores para aislar las cargas de trabajo en sus propios entornos autoadministrados que se pongan en contacto con el proveedor de su sistema operativo para obtener las actualizaciones o instrucciones necesarias para mitigar cualquier posible problema derivado de estos problemas.

A excepción de los servicios de AWS que se indican a continuación, no se requiere ninguna acción por parte del cliente para resolver este problema. Como práctica recomendada, AWS siempre recomienda aplicar todos los parches de seguridad y las actualizaciones de las versiones de software.

Amazon Linux

Hay una versión actualizada de runc disponible para Amazon Linux 2 (runc-1.3.2-2.amzn2) y Amazon Linux 2023 (runc-1.3.2-2.amzn2023.0.1). AWS recomienda a los clientes que utilizan Amazon Linux 2 o Amazon Linux 2023 que actualicen su versión de runc al menos a la 1.3.2-2. Puede encontrar más información en el Centro de seguridad de Amazon Linux.

Bottlerocket

Se incluye una versión actualizada de runc en Bottlerocket 1.50.0, que se lanzará el 5 de noviembre de 2025. AWS recomienda a los clientes que utilizan Bottlerocket que apliquen esta actualización. Se publicará más información en las Notas de la versión de Bottlerocket.

Amazon Elastic Container Service (ECS)

Amazon ECS lanzará una versión actualizada de imágenes de máquina de Amazon (AMI) optimizadas para Amazon ECS el 5 de noviembre de 2025 (versión 20251031). Esta versión actualizada incluye una nueva versión de runc (versión 1.3.2-2). Recomendamos a los clientes que utilizan ECS en instancias de EC2 que actualicen a estas AMI más recientes o que ejecuten “yum update -security” para obtener los parches de seguridad. Para más información, consulte la guía del usuario de AMI optimizada para Amazon ECS.

Amazon ECS Fargate incluirá automáticamente una versión actualizada de runc en todas las tareas de Fargate que se lancen después del 5 de noviembre de 2025. Los clientes no necesitan realizar ninguna acción.

Las instancias administradas de Amazon ECS lanzarán nuevas AMI el 5 de noviembre de 2025, con una versión actualizada de runc. ECS evitará que las nuevas tareas lleguen a las instancias de contenedores existentes. En su lugar, todas las tareas nuevas se colocarán en nuevas instancias de contenedor que usarán las nuevas AMI con la versión de runc actualizada. Los clientes no necesitan realizar ninguna acción.

Amazon Elastic Kubernetes Service (EKS)

Amazon EKS lanzará las AMI de modo automático de EKS actualizadas con un tiempo de ejecución de contenedor parcheado el 5 de noviembre de 2025. Los grupos de nodos en modo automático configurados con la configuración de deriva predeterminada comenzarán a actualizarse automáticamente a la versión de la AMI parcheada. Los nodos que dispongan de controles de interrupción de nodos se actualizarán a la versión parcheada en un plazo de 21 días a partir de su lanzamiento inicial. Para actualizar los nodos de inmediato, puede eliminarlos para forzar un reemplazo inmediato. Los clientes pueden comprobar que los nodos ejecutan una AMI parcheada ejecutando kubectl get node -o wide e inspeccionando el campo “Imagen del sistema operativo”. Los nodos parcheados tendrán una fecha del 2025.11.01 o posterior; por ejemplo, Bottlerocket (EKS Auto, Standard) 2025.11.01 (aws-k8s-1.34-standard).

Amazon EKS publicará la versión v20251103 actualizada de las imágenes de máquina de Amazon (AMI) AL2/AL2023 optimizada para EKS con el tiempo de ejecución del contenedor parcheado el 5 de noviembre de 2025. La AMI 1.50.0 de EKS Bottlerocket también contiene el tiempo de ejecución del contenedor parcheado. Los clientes que utilicen grupos de nodos administrados pueden consultar la documentación de EKS y actualizar los grupos de nodos. Los clientes que utilizan Karpenter pueden actualizar los nodos si siguen la documentación sobre desviaciones o selección de AMI. Los clientes que utilizan nodos de trabajo autoadministrados pueden reemplazar los nodos existentes si consultan la documentación de EKS.

Amazon EKS Fargate pondrá a disposición una actualización para los nuevos pods de clústeres nuevos o existentes el 5 de noviembre de 2025. Los clientes deben eliminar los pods de Amazon EKS Fargate existentes para usar el tiempo de ejecución parcheado. Los clientes pueden verificar que sus nodos estén parcheados con la versión de Kubelet que termina en eks-3cfe0ce ejecutando kubectl get nodes. Consulte la documentación Introducción a AWS Fargate con Amazon EKS para obtener información sobre cómo eliminar y crear pods de Fargate.

Amazon EKS Anywhere lanzará las versiones actualizadas v0.24.0 y 0.23.5 con runc parcheado (versión 1.3.2-2) el 6 de noviembre de 2025. Los clientes pueden consultar la sección Actualizar clúster en la documentación de EKS Anywhere para obtener información sobre cómo actualizar los clústeres de modo que utilicen imágenes de máquinas virtuales revisadas.

AWS Elastic Beanstalk

Estarán disponibles versiones actualizadas de la plataforma basada en Docker y ECS de AWS Elastic Beanstalk el 5 de noviembre de 2025. Los clientes que utilicen actualizaciones de plataforma administradas se actualizarán automáticamente a la última versión de la plataforma durante el periodo de mantenimiento seleccionado sin necesidad de realizar ninguna acción. Los clientes también pueden realizar la actualización de manera inmediata desde la página de configuración Actualizaciones administradas haciendo clic en el botón Aplicar ahora. Los clientes que no tengan habilitadas las actualizaciones de plataforma administradas pueden actualizar la versión de la plataforma para su entorno siguiendo las instrucciones que se indican en la documentación.

Finch

Una versión actualizada de runc estará disponible para Finch para las plataformas macOS y Windows el 5 de noviembre de 2025 en la última versión, v1.13.0. Los clientes deben actualizar su instalación de Finch en macOS y Windows para solucionar este problema. Las versiones de Finch se pueden descargar a través de la página de lanzamiento de GitHub del proyecto o al ejecutar “brew update” si instaló Finch a través de Homebrew. Una vez actualizada, es necesario volver a inicializar la máquina virtual mediante la eliminación y la nueva inicialización (init) de la máquina virtual.

AMI de aprendizaje profundo de AWS

Las AMI de aprendizaje profundo de Amazon Linux 2 y Amazon Linux 2023 actualizadas estarán disponibles el 5 de noviembre de 2025. Los clientes deben actualizar a la versión más reciente de la AMI cuando esté disponible.

AWS Batch

Como práctica recomendada de seguridad general, sugerimos a los clientes de Batch que sustituyan sus actuales entornos de computación por la última AMI una vez que esté disponible. Las instrucciones para reemplazar el entorno de computación están disponibles en la documentación del producto Batch. Estará disponible una AMI optimizada de Amazon ECS y EKS actualizada el 12 de noviembre de 2025 como AMI de entornos de computación predeterminada.

Los clientes de Batch que no utilicen la AMI predeterminada deben comunicarse con el proveedor del sistema operativo a fin de obtener las actualizaciones necesarias para resolver estos problemas. Las instrucciones para personalizar la AMI de Batch están disponibles en la documentación del producto de Batch.

Amazon SageMaker

Todos los recursos de SageMaker creados o reiniciados después del 7 de noviembre de 2025 incluirán automáticamente la versión parcheada de runc. Esto incluye las instancias de cuadernos de SageMaker, los trabajos de entrenamiento de SageMaker, los trabajos de procesamiento de SageMaker, los trabajos de transformación por lotes de SageMaker, SageMaker Studio y SageMaker Inference. AWS comenzará a aplicar parches a los recursos de SageMaker existentes creados antes del 7 de noviembre de 2025 una vez que estén disponibles las AMI de aprendizaje profundo de AWS y las AMI de Amazon Linux.

Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.