Vous consultez une version précédente de ce bulletin de sécurité. Pour obtenir la version la plus à jour, veuillez consulter : « Problème de sécurité de conteneur (CVE-2019-5736) ».

11 février 2019, 7:00 PST (heure du Pacifique)

Identifiant CVE : CVE-2019-5736

AWS a connaissance du récent problème de sécurité qui affecte plusieurs systèmes de gestion des conteneurs Open Source (CVE-2019-5736). À l'exception des services AWS répertoriés ci-dessous, aucune action n'est nécessaire de la part du client pour remédier à ce problème.

Amazon Linux

Une version à jour de Docker est disponible pour les référentiels de l'AMI Amazon Linux 2 (ALAS-2019-1156) et Amazon Linux 2018.03 (ALAS-2019-1156). AWS recommande aux utilisateurs utilisant Docker dans Amazon Linux de lancer de nouvelles instances à partir de la dernière version de l'AMI. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.

Amazon Elastic Container Service (Amazon ECS)

Les AMI optimisées mises à jour pour Amazon ECS, y compris l'AMI Amazon Linux, l'AMI Amazon Linux 2 et l'AMI optimisée par GPU, seront disponibles à compter du 11 février 2019. Nous mettrons à jour ce bulletin dès que ces AMI seront disponibles. À titre de bonne pratique de sécurité générale, nous recommandons aux clients ECS de mettre à jour leurs configurations pour lancer de nouvelles instances de conteneur à partir de la dernière version de l'AMI. Les clients doivent remplacer les instances de conteneur existantes par la nouvelle version de l'AMI pour résoudre le problème décrit ci-dessus. Vous pouvez trouver les instructions correspondantes dans la documentation ECS pour l'AMI Amazon Linux, l'AMI Amazon Linux 2 et l'AMI optimisé par GPU.

Nous recommandons aux clients Linux qui n'utilisent pas l'AMI optimisée pour ECS de consulter le fournisseur de leur système d'exploitation, logiciel ou AMI autre/tiers pour ce qui concerne les mises à jour et les instructions, si nécessaire. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité Amazon Linux.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Une AMI optimisée mise à jour pour Amazon EKS sera disponible à compter du 11 février 2019. Nous mettrons à jour ce bulletin dès que ces AMI seront disponibles. À titre de bonne pratique de sécurité générale, nous recommandons aux clients EKS de mettre à jour leurs configurations pour lancer de nouveaux nœuds de travail à partir de la dernière version de l'AMI. Les clients doivent remplacer les nœuds de travail existants avec la nouvelle version de l'AMI pour résoudre le problème décrit ci-dessus. Vous pouvez consulter la documentation EKS pour obtenir des instructions expliquant comment mettre à jour les nœuds de travail.

Les clients Linux qui n'utilisent pas l'AMI optimisée pour EKS doivent contacter leur fournisseur de système d'exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité Amazon Linux.

AWS Fargate

Une version à jour de Fargate est disponible pour la plateforme version 1.3 qui atténue les problèmes décrits dans CVE-2019-5736. Les versions corrigées des anciennes versions de la plateforme (1.0.0, 1.1.0, 1.2.0) seront disponibles d'ici le 15 mars 2019.

Les clients exécutant les services Fargate doivent appeler UpdateService en activant « --force-new-deployment » pour lancer toutes les nouvelles tâches sur la dernière version 1.3 de la plateforme. Les clients exécutant des tâches autonomes doivent mettre fin aux tâches existantes et les relancer en utilisant la dernière version. Vous pouvez trouver des instructions spécifiques dans la documentation de mise à jour Fargate.

Toutes les tâches qui ne sont pas passées à la version corrigée seront retirées d'ici le 19 avril 2019. Les clients qui utilisent des tâches autonomes doivent lancer de nouvelles tâches pour remplacer celles qui ont été retirées. Vous trouverez plus d'informations dans la documentation de mise hors services des tâches Fargate.

AWS IoT Greengrass

Les versions à jour d'AWS IoT Greengrass Core seront disponibles à compter du 11 février 2019. Nous mettrons à jour ce bulletin dès que les versions corrigées seront disponibles. Les versions à jour nécessitent des fonctionnalités disponibles dans le noyau Linux version 3.17 ou version ultérieure. Vous pouvez trouver ici des instructions sur la façon de mettre à jour le noyau.

À titre de bonne pratique de sécurité générale, nous recommandons aux clients exécutant une version de GreenGrass Core d'effectuer une mise à niveau vers la version 1.7.1. Vous pouvez trouver ici des instructions pour la mise à jour à distance.

AWS Batch

Une AMI optimisée mise à jour pour Amazon ECS sera disponible à compter du 11 février 2019 en tant qu'AMI d'environnement de calcul par défaut. Ce bulletin sera mis à jour une fois que l'AMI à jour sera disponible. À titre de bonne pratique de sécurité générale, nous recommandons aux clients Batch de remplacer leurs environnements de calcul existants par la dernière AMI dès qu'elle sera disponible. Si un client Batch a besoin d'une mise à jour immédiate, il lui est conseillé de remplacer l'AMI par défaut par la dernière AMI optimisée par Amazon ECS lors de la création d'un environnement de calcul. Vous pouvez trouver des instructions pour remplacer l'environnement de calcul dans la documentation de produit Batch.

Les clients Batch qui n'utilisent pas l'AMI par défaut doivent contacter le fournisseur de leur système d'exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes. Vous pouvez trouver des instructions pour l'AMI personnalisée Batch dans la documentation de produit Batch.

AWS Elastic Beanstalk

Des versions à jour de la plateforme basée sur Docker AWS Elastic Beanstalk seront disponibles le 11 février 2019. Ce bulletin sera mis à jour une fois que les nouvelles versions de plateforme seront disponibles. Les clients qui utilisent les mises à jour de plateforme gérées obtiendront automatiquement une mise à jour vers la version la plus récente de la plateforme dans la fenêtre de maintenance sélectionnée sans qu'aucune action ne soit requise de leur part. Les clients peuvent également effectuer immédiatement une mise à jour en accédant à la page de configuration des mises à jour gérées et en cliquant sur le bouton « Apply Now » (Appliquer maintenant). Les clients qui n'ont pas activé les mises à jour de plateforme gérées peuvent mettre à jour la version de plateforme de leur environnement en suivant les instructions qui se trouvent ici.

AWS Cloud9

Une version à jour de l'environnement AWS Cloud9 avec Amazon Linux est disponible. Par défaut, des correctifs de sécurité seront appliqués dès le premier démarrage. Les clients qui disposent d'environnements AWS Cloud9 existants basés sur EC2 doivent lancer de nouvelles instances à partir de la version AWS Cloud9 la plus récente. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.

Les clients AWS Cloud9 qui utilisent les environnements SSH qui ne sont pas créés avec Amazon Linux doivent contacter le fournisseur de leur système d'exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes.

AWS SageMaker

Une version à jour d'Amazon SageMaker est disponible. Les clients qui utilisent les conteneurs de cadre ou d'algorithme par défaut d'Amazon SageMaker pour la formation, l'optimisation, la transformation par lots ou les points de terminaison ne sont pas concernés. Les clients qui exécutent des tâches de compilation ou d'étiquetage ne sont également pas concernés. Les clients qui n'utilisent pas les blocs-notes Amazon SageMaker pour exécuter les conteneurs Docker ne sont pas concernés. De plus, tous les blocs-notes Amazon SageMaker lancés à partir du 11 février avec des instances CPU incluent les dernières mises à jour et aucune action n'est requise de la part du client. Toutes les tâches de point de terminaison, d'étiquetage, de formation, d'optimisation, de compilation et de transformation par lot lancées à compter du 11 février incluent la dernière mise à jour et aucune action n'est requise de la part du client.

AWS recommande aux clients qui exécutent des tâches de formation, d'optimisation et de transformation par lot avec un code personnalisé créé avant le 11 février de mettre fin et de reprendre leurs tâches pour inclure la dernière mise à jour. Ces actions peuvent être effectuées depuis la console Amazon SageMaker ou en suivant ces instructions.

Amazon SageMaker met automatiquement à jour tous les points de terminaison en service vers le logiciel le plus récent toutes les quatre semaines. Tous les points de terminaison créés avant le 11 février doivent être mis à jour avant le 11 mars. S'il existe des problèmes liés aux mises à jour automatiques et que les clients doivent prendre des mesures pour mettre à jour leurs points de terminaison, Amazon SageMaker publiera une notification dans le Personal Health Dashboard des clients. Les clients qui souhaitent mettre à jour leurs points de terminaison plus tôt peuvent le faire manuellement à partir de la console Amazon SageMaker ou en utilisant l'action d'API UpdateEndpoint à tout moment. Nous recommandons aux clients ayant des points de terminaison avec scalabilité automatique de prendre des précautions supplémentaires ou de suivre ces instructions.

AWS recommande aux clients exécutant des conteneurs Docker dans les blocs-notes Amazon SageMaker s'exécutant avec les instances CPU d'arrêter et de redémarrer leurs instances de bloc-note Amazon SageMaker pour obtenir la dernière version disponible du logiciel. Cela peut être effectué depuis la console Amazon SageMaker. Les clients peuvent également arrêter l'instance de bloc-note à l'aide de l'API StopNotebookInstance, puis la redémarrer à l'aide de l'API StartNotebookInstance.

Une version à jour des blocs-notes Amazon SageMaker avec les instances GPU sera mise à disposition des clients peu de temps après la publication des correctifs Nvidia. Ce bulletin sera mis à jour lorsqu'une version à jour sera disponible. Les clients exécutant des conteneurs Docker sur des blocs-notes avec instances GPU peuvent prendre des mesures de prévention en arrêtant temporairement leurs instances de bloc-note via la console ou en utilisant l'API StopNotebookInstance, puis en démarrant l'instance de bloc-note à l'aide de l'API StartNotebookInstance une fois la version à jour disponible.

AWS RoboMaker

Une version à jour de l'environnement de développement AWS RoboMaker sera disponible peu de temps après la publication des correctifs Canonical et Docker. Ce bulletin sera mis à jour une fois que la mise à jour sera disponible. À titre de bonne pratique de sécurité générale, AWS recommande aux clients qui utilisent des environnements de développement RoboMaker de garder leurs environnements Cloud9 à jour.

Une version à jour d'AWS IoT Greengrass Core sera disponible à compter du 11 février 2019. Ce bulletin sera mis à jour une fois que la version à jour sera disponible. Tous les clients qui utilisent RoboMaker Fleet Management doivent installer la dernière version du noyau Greengrass dès qu'elle sera disponible. Pour recevoir la mise à jour, les clients doivent suivre cette procédure.

AMI AWS Deep Learning

AWS recommande aux clients ayant utilisé Docker avec leur AMI Deep Learning ou Deep Learning Base sur Amazon Linux de lancer de nouvelles instances de la dernière version de l'AMI, et d'exécuter la commande suivante pour mettre à niveau Docker :

sudo yum upgrade docker

Une version à jour de l'AMI Deep Learning Base et Deep Learning sera téléchargeable une fois que tous les correctifs de sécurité pertinents seront publiés. Ce bulletin sera mis à jour une fois que les nouvelles AMI seront disponibles.

Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.

Une fois les mises à jour de Docker sur Ubuntu publiées en réponse aux problèmes signalés dans CVE-2019-5736, AWS recommande aux clients ayant utilisé Docker avec leur AMI Deep Learning ou Deep Learning Base sur Ubuntu de lancer de nouvelles instances de la dernière version de l'AMI et de suivre ces instructions pour mettre Docker à niveau (en s'assurant que toutes les étapes d'installation sont respectées) :

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

AWS recommande également aux clients de surveiller le bulletin de sécurité Nvidia pour obtenir des mises à jour de nvidia-docker2 et des produits connexes.