Vous consultez une version précédente de ce bulletin de sécurité. Pour obtenir la version la plus à jour, veuillez consulter : « Problème de sécurité de conteneur (CVE-2019-5736) ».

11 février 2019 23 h HNP

Identifiant CVE : CVE-2019-5736

AWS a connaissance du récent problème de sécurité qui affecte plusieurs systèmes de gestion des conteneurs Open Source (CVE-2019-5736).. À l'exception des services AWS répertoriés ci-dessous, aucune action n'est nécessaire de la part du client pour remédier à ce problème.

Amazon Linux

Une version à jour de Docker (docker-18.06.1ce-7.amzn2) est disponible pour les référentiels supplémentaires Amazon Linux 2 et les référentiels de l'AMI Linux Amazon 2018.03 (ALAS-2019-1156). AWS recommande aux clients utilisant Docker dans Amazon Linux de lancer de nouvelles instances à partir de la dernière version de l'AMI. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.

Amazon Elastic Container Service (Amazon ECS)

Les AMI optimisées pour Amazon ECS, y compris l'AMI Amazon Linux, l'AMI Amazon Linux 2 et l'AMI optimisé par GPU, sont désormais disponibles. À titre de bonne pratique de sécurité générale, nous recommandons aux clients ECS de mettre à jour leurs configurations pour lancer de nouvelles instances de conteneur à partir de la dernière version de l'AMI. Les clients doivent remplacer les instances de conteneur existantes par la nouvelle version de l'AMI pour résoudre le problème décrit ci-dessus. Vous pouvez trouver des instructions pour remplacer les instances de conteneur existantes dans la documentation ECS pour l'AMI Amazon Linux, l'AMI Amazon Linux 2 et l'AMI optimisé par GPU.

Nous recommandons aux clients Linux qui n'utilisent pas l'AMI optimisée pour ECS de consulter le fournisseur de votre système d'exploitation, logiciel ou AMI pour ce qui concerne les mises à jour et les instructions, si nécessaire. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité Amazon Linux.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Une AMI optimisée pour Amazon EKS est disponible dans AWS Marketplace. À titre de bonne pratique de sécurité générale, nous recommandons aux clients EKS de mettre à jour leurs configurations pour lancer de nouveaux nœuds de travail à partir de la dernière version de l'AMI. Les clients doivent remplacer les nœuds de travail existants avec la nouvelle version de l'AMI pour résoudre le problème décrit ci-dessus. Vous pouvez consulter la documentation EKS pour obtenir des instructions expliquant comment mettre à jour les nœuds de travail.

Les clients Linux qui n'utilisent pas l'AMI optimisé pour EKS doivent contacter leur fournisseur de système d'exploitation pour obtenir les mises à jour nécessaire à la résolution de ces problèmes. Les instructions concernant Amazon Linux sont disponibles dans le centre de sécurité Amazon Linux.

AWS Fargate

Une version à jour de Fargate est disponible pour la plateforme version 1.3 qui atténue les problèmes décrits dans CVE-2019-5736. Les versions corrigées des anciennes versions de la plateforme (1.0.0, 1.1.0, 1.2.0) seront disponibles d'ici le 15 mars 2019.

Les clients exécutant les services Fargate doivent appeler UpdateService en activant « --force-new-deployment » pour lancer toutes les nouvelles Tâches sur la dernière version 1.3 de la plateforme. Les clients exécutant des tâches autonomes doivent mettre fin aux tâches existantes et les relancer en utilisant la dernière version. Vous pouvez trouver des instructions spécifiques dans la documentation de mise à jour Fargate.

Toutes les tâches qui ne sont pas passées à la version corrigée seront retirées d'ici le 19 avril 2019. Les clients qui utilisent des tâches standard doivent lancer de nouvelles tâches pour remplacer celles qui ont été retirées. Pour pouvez trouver plus d'informations dans la documentation de mise hors services des tâches Fargate.

AWS IoT Greengrass

Les versions à jour de AWS IoT Greengrass Core 1.7.1 et 1.6.1 sont disponibles. Les versions à jour nécessitent des fonctionnalités disponibles dans la version 3.17 du noyau Linux ou une version ultérieure. Vous pouvez trouver ici des instructions sur la façon de mettre à jour votre noyau.

À titre de bonne pratique de sécurité générale, nous recommandons aux clients exécutant une version de GreenGrass Core d'effectuer une mise à niveau vers la version 1.7.1. Vous pouvez trouver ici des instructions pour la mise à jour à distance.

AWS Batch

Une AMI optimisée pour Amazon ECS est disponible en tant qu'AMI d'environnement de calcul par défaut. À titre de bonne pratique de sécurité générale, nous recommandons aux clients Batch de remplacer leurs environnements de calcul existants par la dernière AMI disponible. Vous pouvez trouver des instructions pour remplacer l'environnement de calcul dans la documentation de produit Batch.

Les clients Batch qui n'utilisent pas l'AMI par défaut doivent contacter leur fournisseur de système d'exploitation pour obtenir les mises à jour nécessaire à la résolution de ces problèmes. Vous pouvez trouver des instructions pour l'AMI personnalisée Batch dans la documentation de produit Batch.

AWS Elastic Beanstalk

Des versions à jour de la plateforme basée sur Docker AWS Elastic Beanstalk sont disponibles. Les clients qui utilisent les mises à jour de plateforme gérées obtiendront automatiquement une mise à jour vers la version la plus récente de la plateforme dans leur fenêtre de maintenance sélectionnée sans qu'aucune action ne soit requise de leur part. Les clients peuvent également effectuer immédiatement une mise à jour en accédant à la page de configuration des mises à jour gérées et en cliquant sur le bouton « Apply Now » (Appliquer maintenant). Les clients qui n'ont pas activé les mises à jour de plateforme gérées peuvent mettre à jour la version de plateforme de leur environnement en suivant les instructions qui se trouvent ici.

AWS Cloud9

Une version à jour de l'environnement AWS Cloud9 avec Amazon Linux est disponible. Par défaut, des correctifs de sécurité seront appliqués dès le premier démarrage. Les clients qui disposent d'environnements AWS Cloud9 existants basés sur EC2 doivent lancer de nouvelles instances à partir de la version AWS Cloud9 la plus récente. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.

Les clients AWS Cloud9 qui utilisent les environnements SSH qui ne sont pas créés avec Amazon Linux doivent contacter leurs fournisseurs de système d'exploitation pour obtenir les mises à jour nécessaires pour résoudre ces problèmes.

AWS SageMaker

Une version à jour d'Amazon SageMaker est disponible. Les clients qui utilisent les conteneurs de framework ou d'algorithme par défaut d'Amazon SageMaker pour la formation, l'optimisation, la transformation par lots ou les points de terminaison ne sont pas affectés. Les clients qui exécutent des tâches de compilation ou d'étiquetage ne sont également pas affectés. Les clients qui n'utilisent pas les blocs-notes Amazon SageMaker pour exécuter les conteneurs Docker ne sont pas affectés. De plus, tous les blocs-notes Amazon SageMaker lancés à partir du 11 février avec des instances CPU incluent les dernières mises à jour et aucune action n'est requise de la part du client. Toutes les tâches de point de terminaison, d'étiquetage, d'optimisation, de compilation et de transformation par lot lancées le 11 février ou ultérieurement incluent la dernière mise à jour et aucune action n'est requise de la part du client.

AWS recommande aux clients qui exécutent des tâches de formation, d'optimisation et de transformation par lot avec un code personnalisé créés avant le 11 février de mettre fin à leurs tâches et de les reprendre pour inclure la dernière mise à jour. Ces actions peuvent être effectuées depuis la console Amazon SageMaker ou en suivant ces instructions.

Amazon SageMaker met automatiquement à jour tous les points de terminaison en service vers le logiciel le plus récent toutes les quatre semaines. Tous les points de terminaison créés avant le 11 février doivent être mis à jour avant le 11 mars. S'il existent des problèmes liés aux mises à jour automatiques et que les clients doivent prendre des mesures pour mettre à jour leurs points de terminaison, Amazon SageMaker publiera une notification dans le Personal Health Dashboard des clients. Les clients qui souhaitent mettre à jour leurs points de terminaison plus tôt peuvent mettre à jour manuellement leurs points de terminaison à partir de la console Amazon SageMaker ou en utilisant l'action d'API UpdateEndpoint à tout moment. Nous recommandons aux clients ayant des points de terminaison avec scalabilité automatique de prendre des précautions supplémentaires ou de suivre ces instructions.

AWS recommande aux clients exécutant des conteneurs Docker dans les blocs-notes Amazon SageMaker s'exécutant avec les instances CPU d'arrêter et de redémarrer leurs instances de bloc-note Amazon SageMaker pour obtenir la dernière version disponible du logiciel. Cela peut être effectué depuis la console Amazon SageMaker. Alternativement, les clients peuvent d'abord arrêter l'instance de bloc-note à l'aide de l'API StopNotebookInstance, puis démarrer l'instance de bloc-note à l'aide de l'API StartNotebookInstance.

Une version à jour des blocs-notes Amazon SageMaker avec les instances GPU sera mise à disposition des clients peu de temps après la publication des correctifs Nvidia. Ce bulletin sera mis à jour lorsqu'une version à jour sera disponible. Les clients exécutant des conteneurs Docker sur des blocs-notes avec instances GPU peuvent prendre des mesures de prévention en arrêtant temporairement leurs instances de bloc-note via la console ou en utilisant l'API StopNotebookInstance, puis en démarrant l'instance de bloc-note à l'aide de l'API StartNotebookInstance une fois la version à jour disponible.

AWS RoboMaker

Une version à jour de l'environnement de développement AWS RoboMaker est disponible. De nouveaux environnements de développement vont utiliser la dernière version. À titre de bonne pratique de sécurité générale, AWS recommande aux clients qui utilisent des environnements de développement RoboMaker de garder leurs environnements Cloud9 à jour.

Une version à jour de AWS IoT Greengrass Core est disponible. Tous les clients utilisant la gestion de flotte RoboMaker doivent mettre GreenGrass Core à niveau vers la version 1.7.1. Vous pouvez trouver ici des instructions pour la mise à niveau à distance.

AMI AWS Deep Learning

Des versions à jour de l'AMI Deep Learning Base et Deep Learning pour Amazon Linux sont disponibles dans AWS Marketplace. AWS recommande aux clients ayant utilisé Docker avec leur AMI Deep Learning ou Deep Learning Base de lancer de nouvelles instances de la dernière version de l'AMI (v21.1 pour l'AMI Deep Learning et v16.1 pour l'AMI Deep Learning Base sur Amazon Linux). Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux. AWS recommande également aux clients de surveiller le bulletin de sécurité depuis Nvidia pour obtenir des mises à jour de nvidia-docker2 et des produits connexes.

AWS recommande aux clients ayant utilisé Docker avec leur AMI Deep Learning ou Deep Learning Base sur Ubuntu de lancer de nouvelles instances de la dernière version de l'AMI et de suivre ces instructions pour mettre Docker à niveau (en s'assurant que toutes les étapes d'installation sont respectées) :

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

Ces instructions mettront également nvidia-docker2 automatiquement à jour. Une version à jour de l'AMI Deep Learning Base et Deep Learning pour Ubuntu sera téléchargeable une fois que tous les correctifs de sécurité pertinents seront publiés. Ce bulletin sera mis à jour une fois que les AMI à jour seront disponibles.