Il s'agit d'une mise à jour concernant ce problème.
Les fichiers binaires d'AWS IoT Greengrass Core V1 (1.10.4 et 1.11.3) avec runC corrigé sont maintenant disponibles au téléchargement (https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html). Une version à jour de Greengrass V2 Lambda Launcher v2.0.6 (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html) est également disponible dans la console AWS IoT. Nous recommandons aux clients Greengrass d'effectuer une mise à niveau vers les derniers fichiers binaires et la dernière version de Lambda Launcher afin d'intégrer les derniers correctifs runC.
Ceci est une version antérieure de ce bulletin de sécurité.
AWS est conscient du problème de sécurité récemment divulgué dans runC qui est un composant de nombreux systèmes de gestion de conteneurs (CVE-2021-30465). À l'exception des services AWS répertoriés ci-dessous, aucune action n'est nécessaire de la part du client pour remédier à ce problème.
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS a publié une mise à jour des Amazon Machine Images (AMI) optimisées pour ECS avec l'exécution du conteneur corrigé le 21 mai 2021. Vous pouvez trouver plus d'informations sur les AMI optimisées pour ECS sur https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
Pour corriger ce problème en attendant, nous recommandons que les clients ECS exécutent la commande yum update --security pour obtenir ce correctif. Plus d'informations sont disponibles sur https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html.
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS a publié une mise à jour des Amazon Machine Images (AMI) optimisées pour ECS avec l'exécution du conteneur corrigé. Vous pouvez obtenir plus d'informations sur l'AMI optimisée pour EKS en consultant https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Nous recommandons aux clients EKS de remplacer tous les nœuds de travail pour utiliser la dernière version optimisée pour EKS de l'AMI. Des instructions sur la mise à jour des nœuds de travail sont disponibles sur https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Bottlerocket
Amazon a publié des AMI Bottlerocket et des mises à jour sur place. Exécuter la dernière mise à jour sur place ou remplacer les instances par les dernières AMI permet de résoudre ce problème.
Si vous utilisez Bottlerocket Update Operator for Kubernetes, la mise à jour des nœuds commence normalement dans les 24 h qui suivent et tous les nœuds dans la semaine. Les clients peuvent effectuer une mise à jour manuelle plus rapide via deux appels d'API : apiclient set updates.ignore-waves=true et apiclient update apply --check --reboot. Une fois les mises à jour terminées, revenez au paramètre par défaut apiclient set updates.ignore-waves=false.
Amazon Linux et Amazon Linux 2
Une version à jour de runc est disponible pour les référentiels supplémentaires Amazon Linux 2 (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) et les référentiels de l'AMI Linux Amazon 2018.03 (*runc-1.0.0-0.2.20210225.git12644e6.3.amzn1*). AWS recommande aux clients qui utilisent des conteneurs dans Amazon Linux de mettre à jour runc à la dernière version et de redémarrer tous les conteneurs en cours d'exécution.
AWS Cloud9
Une version à jour de l'environnement AWS Cloud9 avec Amazon Linux est disponible. Par défaut, des correctifs de sécurité seront appliqués dès le premier démarrage. Les clients qui disposent d'environnements AWS Cloud9 existants basés sur EC2 doivent lancer de nouvelles instances à partir de la version AWS Cloud9 la plus récente. Plus d'informations sont disponibles dans le Centre de sécurité Amazon Linux (https://alas.aws.amazon.com/).
Les clients AWS Cloud9 qui utilisent les environnements SSH qui ne sont pas créés avec Amazon Linux doivent contacter le fournisseur de leur système d'exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes.
AWS IoT Greengrass
Des mises à jour des fichiers binaires AWS IoT Greengrass Core V1 et de Greengrass V2 Lambda Launcher seront disponibles d'ici le 15 juin comme versions les plus récentes de Greengrass. Ce bulletin sera mis à jour une fois que les correctifs seront disponibles.
Greengrass utilise la bibliothèque runC pour exécuter des fonctions Lambda à l'intérieur d'un conteneur conforme à OCI sur les appareils Greengrass Core. Les fonctions Lambda déployées sur les Greengrass Core sont fournies à Greengrass via des API cloud autorisées authentifiées, une CLI locale autorisée authentifiée (si elle est activée) ou via un accès racine local. Cela signifie que Greengrass ne déploiera et n'exécutera que les fonctions Lambda prévues, et aucune action n'est nécessaire tant que les fonctions Lambda sont déployées à partir de sources approuvées. Une bonne pratique pour les clients est de ne déployer que des fonctions Lambda à partir de sources approuvées.
AWS Deep Learning AMI
Des versions à jour de l'AMI Deep Learning Base et Deep Learning pour Amazon Linux et Amazon Linux2 sont disponibles dans la console AWS EC2 et AWS Marketplace. AWS recommande aux clients qui ont utilisé Docker avec leur AMI Deep Learning Base ou Deep Learning de lancer de nouvelles instances de la dernière version de l'AMI (v35.0 ou version ultérieure pour l'AMI Deep Learning Base sur Amazon Linux, v38.0 ou version ultérieure pour l'AMI Deep Learning Base sur Amazon Linux2, v45.0 ou version ultérieure pour l'AMI Deep Learning Base sur Amazon Linux et Amazon Linux2). Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.
AWS Batch
Après la mise à jour de l'AMI :
Une AMI optimisée mise à jour pour Amazon ECS est disponible en tant qu'AMI d'environnement de calcul par défaut. Nous recommandons aux clients Batch de remplacer leurs environnements de calcul existants par la dernière AMI disponible. Vous pouvez trouver des instructions pour remplacer l'environnement de calcul dans la documentation de produit Batch
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments).
Les clients Batch qui n'utilisent pas l'AMI par défaut doivent contacter le fournisseur de leur système d'exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes. Vous pouvez trouver des instructions pour l'AMI personnalisée Batch dans la documentation produit Batch (https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html).
AWS Elastic Beanstalk
Des versions à jour de la plateforme basée sur Docker AWS Elastic Beanstalk sont disponibles. Nous recommandons aux clients de procéder immédiatement à la mise à jour en accédant à la page de configuration des mises à jour gérées et en cliquant sur le bouton « Apply Now » (Appliquer maintenant). Les clients qui n'ont pas activé les mises à jour de plateforme gérées peuvent mettre à jour la version de plateforme de leur environnement en suivant les instructions qui se trouvent ici. Les clients qui utilisent les mises à jour de plateforme gérées obtiendront automatiquement une mise à jour vers la version la plus récente de la plateforme dans la fenêtre de maintenance sélectionnée sans qu'aucune action ne soit requise de leur part. Des notes de mise à jour sont également disponibles.