13 février 2019 21:00 PST (heure du Pacifique)
Identifiant CVE : CVE-2019-5736
AWS a connaissance du récent problème de sécurité qui affecte plusieurs systèmes de gestion des conteneurs Open Source (CVE-2019-5736). À l'exception des services AWS répertoriés ci-dessous, aucune action n'est nécessaire de la part du client pour remédier à ce problème.
Amazon Linux
Une version à jour de Docker (docker-18.06.1ce-7.amzn2) est disponible pour les référentiels supplémentaires Amazon Linux 2 et les référentiels de l'AMI Linux Amazon 2018.03 (ALAS-2019-1156). AWS recommande aux clients utilisant Docker dans Amazon Linux de lancer de nouvelles instances à partir de la dernière version de l'AMI. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Les AMI optimisées pour Amazon ECS, y compris l'AMI Amazon Linux, l'AMI Amazon Linux 2 et l'AMI optimisé par GPU, sont désormais disponibles. À titre de bonne pratique de sécurité générale, nous recommandons aux clients ECS de mettre à jour leurs configurations pour lancer de nouvelles instances de conteneur à partir de la dernière version de l'AMI. Les clients doivent remplacer les instances de conteneur existantes par la nouvelle version de l'AMI pour résoudre le problème décrit ci-dessus. Vous pouvez trouver des instructions pour remplacer les instances de conteneur existantes dans la documentation ECS pour l'AMI Amazon Linux, l'AMI Amazon Linux 2 et l'AMI optimisée par GPU.
Nous recommandons aux clients Linux qui n'utilisent pas l'AMI optimisée pour ECS de consulter le fournisseur de leur système d'exploitation, logiciel ou AMI pour ce qui concerne les mises à jour et les instructions, si nécessaire. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Une AMI optimisée pour Amazon EKS est disponible dans AWS Marketplace. À titre de bonne pratique de sécurité générale, nous recommandons aux clients EKS de mettre à jour leurs configurations pour lancer de nouveaux nœuds de travail à partir de la dernière version de l'AMI. Les clients doivent remplacer les nœuds de travail existants avec la nouvelle version de l'AMI pour résoudre le problème décrit ci-dessus. Vous pouvez consulter la documentation EKS pour obtenir des instructions expliquant comment mettre à jour les nœuds de travail.
Les clients Linux qui n'utilisent pas l'AMI optimisée pour EKS doivent contacter leur fournisseur de système d'exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité Amazon Linux.
AWS Fargate
Une version à jour de Fargate est disponible pour la plateforme version 1.3 qui atténue les problèmes décrits dans CVE-2019-5736. Les versions corrigées des anciennes versions de la plateforme (1.0.0, 1.1.0, 1.2.0) seront disponibles d'ici le 15 mars 2019.
Les clients exécutant les services Fargate doivent appeler UpdateService en activant « --force-new-deployment » pour lancer toutes les nouvelles tâches sur la dernière version 1.3 de la plateforme. Les clients exécutant des tâches autonomes doivent mettre fin aux tâches existantes et les relancer en utilisant la dernière version. Vous pouvez trouver des instructions spécifiques dans la documentation de mise à jour Fargate.
Toutes les tâches qui ne sont pas passées à la version corrigée seront retirées d'ici le 19 avril 2019. Les clients qui utilisent des tâches autonomes doivent lancer de nouvelles tâches pour remplacer celles qui ont été retirées. Vous trouverez plus d'informations dans la documentation de mise hors services des tâches Fargate.
AWS IoT Greengrass
Les versions à jour d'AWS IoT Greengrass Core 1.7.1 et 1.6.1 sont disponibles. Les versions à jour nécessitent des fonctionnalités disponibles dans le noyau Linux version 3.17 ou version ultérieure. Vous pouvez trouver ici des instructions sur la façon de mettre à jour le noyau.
À titre de bonne pratique de sécurité générale, nous recommandons aux clients exécutant une version de GreenGrass Core d'effectuer une mise à niveau vers la version 1.7.1. Vous pouvez trouver ici des instructions pour la mise à jour à distance.
AWS Batch
Une AMI optimisée mise à jour pour Amazon ECS est disponible en tant qu'AMI d'environnement de calcul par défaut. À titre de bonne pratique de sécurité générale, nous recommandons aux clients Batch de remplacer leurs environnements de calcul existants par la dernière AMI disponible. Vous pouvez trouver des instructions pour remplacer l'environnement de calcul dans la documentation de produit Batch.
Les clients Batch qui n'utilisent pas l'AMI par défaut doivent contacter le fournisseur de leur système d'exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes. Vous pouvez trouver des instructions pour l'AMI personnalisée Batch dans la documentation de produit Batch.
AWS Elastic Beanstalk
Des versions à jour de la plateforme basée sur Docker AWS Elastic Beanstalk sont disponibles. Les clients qui utilisent les mises à jour de plateforme gérées obtiendront automatiquement une mise à jour vers la version la plus récente de la plateforme dans la fenêtre de maintenance sélectionnée sans qu'aucune action ne soit requise de leur part. Les clients peuvent également effectuer immédiatement une mise à jour en accédant à la page de configuration des mises à jour gérées et en cliquant sur le bouton « Apply Now » (Appliquer maintenant). Les clients qui n'ont pas activé les mises à jour de plateforme gérées peuvent mettre à jour la version de plateforme de leur environnement en suivant les instructions qui se trouvent ici.
AWS Cloud9
Une version à jour de l'environnement AWS Cloud9 avec Amazon Linux est disponible. Par défaut, des correctifs de sécurité seront appliqués dès le premier démarrage. Les clients qui disposent d'environnements AWS Cloud9 existants basés sur EC2 doivent lancer de nouvelles instances à partir de la version AWS Cloud9 la plus récente. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.
Les clients AWS Cloud9 qui utilisent les environnements SSH qui ne sont pas créés avec Amazon Linux doivent contacter le fournisseur de leur système d'exploitation pour obtenir les mises à jour nécessaires pour résoudre ces problèmes.
AWS SageMaker
Une version à jour d'Amazon SageMaker est disponible. Les clients qui utilisent les conteneurs de cadre ou d'algorithme par défaut d'Amazon SageMaker pour la formation, l'optimisation, la transformation par lots ou les points de terminaison ne sont pas concernés. Les clients qui exécutent des tâches de compilation ou d'étiquetage ne sont également pas concernés. Les clients qui n'utilisent pas les blocs-notes Amazon SageMaker pour exécuter les conteneurs Docker ne sont pas concernés. Toutes les tâches de point de terminaison, d'étiquetage, de formation, d'optimisation, de compilation et de transformation par lot lancées à compter du 11 février incluent la dernière mise à jour sans qu'aucune action du client ne soit requise. Tous les blocs-notes Amazon SageMaker lancés à partir du 11 février avec des instances CPU et tous ceux qui sont lancés à partir du 13 février 18:00 (heure du Pacifique) avec des instances GPU incluent les dernières mises à jour sans qu'aucune action du client ne soit nécessaire.
AWS recommande aux clients, qui exécutent des tâches de formation, d'optimisation et de transformation par lot avec un code personnalisé créé avant le 11 février, d'arrêter et de reprendre leurs tâches pour inclure la dernière mise à jour. Ces actions peuvent être effectuées depuis la console Amazon SageMaker ou en suivant ces instructions.
Amazon SageMaker met automatiquement à jour tous les points de terminaison en service vers le logiciel le plus récent toutes les quatre semaines. Tous les points de terminaison créés avant le 11 février doivent être mis à jour avant le 11 mars. S'il existe des problèmes liés aux mises à jour automatiques et que les clients doivent prendre des mesures pour mettre à jour leurs points de terminaison, Amazon SageMaker publiera une notification dans le Personal Health Dashboard des clients. Les clients qui souhaitent mettre à jour leurs points de terminaison plus tôt peuvent le faire manuellement à partir de la console Amazon SageMaker ou en utilisant l'action d'API UpdateEndpoint à tout moment. Nous recommandons aux clients ayant des points de terminaison avec scalabilité automatique de prendre des précautions supplémentaires ou de suivre ces instructions.
AWS recommande aux clients exécutant des conteneurs Docker dans les blocs-notes Amazon SageMaker d'arrêter et de redémarrer leurs instances de bloc-note Amazon SageMaker pour obtenir la dernière version disponible du logiciel. Cela peut être effectué depuis la console Amazon SageMaker. Les clients peuvent également arrêter l'instance de bloc-note à l'aide de l'API StopNotebookInstance, puis la redémarrer à l'aide de l'API StartNotebookInstance.
AWS RoboMaker
Une version à jour de l'environnement de développement AWS RoboMaker est disponible. De nouveaux environnements de développement utiliseront la dernière version. À titre de bonne pratique de sécurité générale, AWS recommande aux clients qui utilisent des environnements de développement RoboMaker de garder leurs environnements Cloud9 à jour.
Une version à jour d'AWS IoT Greengrass Core est disponible. Tous les clients utilisant la gestion de flotte RoboMaker doivent mettre à niveau GreenGrass Core vers la version 1.7.1. Vous pouvez trouver ici des instructions pour la mise à niveau à distance.
AMI AWS Deep Learning
Des versions à jour de l'AMI Deep Learning Base et Deep Learning pour Amazon Linux et Ubuntu sont disponibles dans AWS Marketplace. AWS recommande aux clients ayant utilisé Docker avec leur AMI Deep Learning ou Deep Learning Base de lancer de nouvelles instances de la dernière version de l'AMI (v21.2 ou version ultérieure pour l'AMI Deep Learning sur Amazon Linux et Ubuntu, v16.2 ou version ultérieure pour l'AMI Deep Learning Base sur Amazon Linux et v15.2 ou version ultérieure pour l'AMI Deep Learning Base sur Ubuntu). Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.