Identifiant CVE : CVE-2020-8558
Il s'agit d'une mise à jour concernant ce problème.
AWS est au courant d'un problème de sécurité récemment découvert par la communauté Kubernetes, affectant la mise en réseau du conteneur Linux (CVE-2020-8558). Ce problème peut permettre aux conteneurs sur le même hôte, ou des hôtes adjacents (sur le même LAN ou domaine de couche 2), d’atteindre des services TCP et UDP liés à localhost (127.0.0.1).
Tous les contrôles de sécurité AWS maintenant l’isolation entre les clients dans Amazon ECS et Amazon EKS continuent de fonctionner correctement. Ce problème ne présente aucun risque d’accès aux données inter-compte. Les processus dans un conteneur ou un hôte peuvent obtenir un accès réseau involontaire à d’autres conteneurs sur le même hôte ou sur d’autres hôtes avec le même VPC et sous-réseau. Une action est nécessaire de la part du client, et les étapes pour une atténuation immédiate sont disponibles sur https://github.com/aws/containers-roadmap/issues/976. Tous les clients Amazon ECS et Amazon EKS doivent mettre à jour vers la dernière AMI.
AWS Fargate
AWS Fargate n’est pas affecté. Aucune action n'est nécessaire de la part du client.
Amazon Elastic Container Service (Amazon ECS)
Des AMI optimisées pour Amazon ECS sont à présent disponibles. À titre de bonne pratique de sécurité générale, nous recommandons aux clients ECS de mettre à jour leurs configurations pour lancer de nouvelles instances de conteneur à partir de la dernière version de l'AMI.
Les clients peuvent mettre à niveau leurs AMI en se reportant à la documentation ECS.
Amazon Elastic Kubernetes Service (Amazon EKS)
Des AMI optimisées pour Amazon EKS sont à présent disponibles. À titre de bonne pratique de sécurité générale, nous recommandons aux clients EKS de mettre à jour leurs configurations pour lancer de nouveaux nœuds de travail à partir de la dernière version de l'AMI.
Les clients qui utilisent des groupes de nœuds gérés peuvent mettre à niveau leurs groupes de nœuds en se référant à la documentation EKS. Les clients qui gèrent eux-mêmes les nœuds de travail doivent remplacer les instances existantes avec la nouvelle version de l’AMI en se référant à la documentation EKS.
Identifiant CVE : CVE-2020-8558
Ceci est une version antérieure de ce bulletin de sécurité.
AWS est au courant d'un problème de sécurité récemment découvert par la communauté Kubernetes, affectant la mise en réseau du conteneur Linux (CVE-2020-8558). Ce problème peut permettre aux conteneurs sur le même hôte, ou des hôtes adjacents (sur le même LAN ou domaine de couche 2), d’atteindre des services TCP et UDP liés à localhost (127.0.0.1).
AWS Fargate n’est pas affecté. Aucune action n'est nécessaire de la part du client.
Tous les contrôles de sécurité AWS maintenant l’isolation entre les clients dans Amazon ECS et Amazon EKS continuent de fonctionner correctement. Ce problème ne présente aucun risque d’accès aux données inter-compte. Les processus dans un conteneur ou un hôte peuvent obtenir un accès réseau involontaire à d’autres conteneurs sur le même hôte ou sur d’autres hôtes avec le même VPC et sous-réseau. Une action est nécessaire de la part du client et les étapes pour une atténuation immédiate sont disponibles sur : https://github.com/aws/containers-roadmap/issues/976
Nous sortirons une mise à jour de Amazon Machine Images pour Amazon ECS et Amazon EKS, et les clients doivent mettre à jour vers ces AMI dès qu'elles sont disponibles.
AWS Fargate
AWS Fargate n'est pas affecté. Aucune action n'est nécessaire de la part du client.
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS sortira une mise à jour des AMI optimisées pour ECS, incluant Amazon Linux AMI, Amazon Linux 2 AMI, GPU-Optimized AMI, ARM-Optimized AMI et Inferentia-Optimized AMI le 9 juillet 2020. Mettre à jour pour utiliser une de ces AMI atténuera le problème. Nous mettrons à jour ce bulletin dès que ces AMI seront disponibles.
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS sortira des mises à jour des AMI optimisées pour EKS, incluant l'AMI optimisée pour EKS Amazon Linux 2 et l'AMI accélérée optimisée pour EKS pour Kubernetes 1.14, 1.15 et 1.16 le 9 juillet 2020. Mettre à jour pour utiliser une de ces AMI atténuera le problème. Nous mettrons à jour ce bulletin dès que ces AMI seront disponibles.