Date de publication : 31/01/2024 à 13 h 30 (heure du Pacifique)
CVE Identifier: CVE-2024-21626
AWS a connaissance du récent problème de sécurité affectant plusieurs systèmes de gestion des conteneurs Open Source (CVE-2024-21626). À l’exception des services AWS répertoriés ci-dessous, aucune action n'est nécessaire de la part du client pour remédier à ce problème.
Amazon Linux
Une version mise à jour de runc est disponible pour Amazon Linux 1 (runc-1.1.11-1.0.amzn1), Amazon Linux 2 (runc-1.1.11-1.amzn2) et pour Amazon Linux 2023 (runc-1.1.11-1.amzn2023). AWS recommande aux clients utilisant runc ou un autre logiciel lié aux conteneurs d’appliquer ces mises à jour ou une version plus récente. Plus d’informations sont disponibles dans le centre de sécurité Amazon Linux.
SE Bottlerocket
Une version mise à jour de runc sera incluse dans Bottlerocket 1.19.0, qui sera publiée d'ici le 2 février 2024. AWS recommande aux clients utilisant Bottlerocket d’appliquer cette mise à jour ou une version plus récente. De plus amples informations seront publiées dans les avis de sécurité de Bottlerocket et les notes de publication de Bottlerocket.
Amazon Elastic Container Service (ECS)
Ce CVE a été corrigé dans runc, et une version mise à jour de runc, la version 1.1.11-1, est disponible dans le cadre des dernières Amazon Machine Images (AMI) optimisées pour Amazon ECS publiées le 31 janvier 2024.
Nous recommandons aux clients d'ECS d’effectuer une mise à jour vers ces AMI (ou vers la dernière version disponible) ou d'effectuer une « mise à jour yum —security » pour obtenir ce correctif. Consultez le guide de l’utilisateur de l’ « AMI optimisée pour Amazon ECS » pour plus d’informations.
Amazon Elastic Kubernetes Services (EKS)
Amazon EKS a publié une version v20240129 mise à jour des Amazon Machine Images (AMI) optimisées pour EKS avec l’exécution du conteneur corrigé. Les clients qui utilisent des groupes de nœuds gérés peuvent mettre à niveau leurs groupes de nœuds en se référant à la documentation EKS. Les clients utilisant Karpenter peuvent mettre à jour leurs nœuds en suivant la documentation sur la dérive ou la sélection de l’AMI. Les clients utilisant des nœuds de travail autogérés peuvent remplacer les nœuds existants en consultant la documentation EKS.
Amazon EKS Fargate proposera une mise à jour pour les nouveaux pods sur les clusters d’ici le 1er février 2024 et affichera une version de Kubelet se terminant par eks-680e576. Les clients peuvent vérifier la version de leurs nœuds en exécutant kubectl get nodes. Les clients doivent supprimer leurs pods existants pour recevoir le patch après le 2 février 2024. Consultez la documentation « Premiers pas avec AWS Fargate à l’aide d’Amazon EKS » pour plus d’informations sur la suppression et la création de pods Fargate.
Amazon EKS Anywhere a publié une version d’images mise à jour v0.18.6 avec le moteur d’exécution du conteneur corrigé. Les clients peuvent consulter la documentation « Mettre à niveau un cluster » d’EKS Anywhere pour savoir comment mettre à niveau des clusters afin d'utiliser des images de machines virtuelles corrigées.
AWS Elastic Beanstalk
Des versions à jour de la plateforme basée sur Docker AWS Elastic Beanstalk et ECS sont disponibles. Les clients qui utilisent les mises à jour de plateforme gérées obtiendront automatiquement une mise à jour vers la version la plus récente de la plateforme dans la fenêtre de maintenance sélectionnée sans qu’aucune action ne soit requise de leur part. Les clients peuvent effectuer immédiatement une mise à jour en accédant à la page de configuration des mises à jour gérées et en cliquant sur le bouton « Apply now » (Appliquer maintenant). Les clients qui n'ont pas activé les mises à jour gérées de la plateforme peuvent mettre à jour la version de la plateforme de leur environnement en suivant le guide de l’utilisateur « Mettre à jour la version de la plateforme de votre environnement Elastic Beanstalk ».
Finch
Une version mise à jour de runc est disponible pour Finch dans la dernière version v1.1.0. Les clients sont invités à mettre à jour leur installation Finch sur macOS pour résoudre ce problème. Les versions de Finch peuvent être téléchargées via la page de publication GitHub du projet ou en exécutant « brew update » si vous avez installé Finch via Homebrew.
AWS Deep Learning AMI
Le package runc concerné fait partie de notre AMI Amazon Linux 2 Deep Learning. Ce package runc est extrait des versions précédentes d’Amazon Linux 2. L’AMI Deep Learning absorbera automatiquement le dernier package corrigé dès qu’il sera disponible auprès de l’équipe Amazon Linux. Une fois publiée, les clients concernés devront installer la dernière AMI Deep Learning pour utiliser les dernières mises à jour runc afin d’atténuer le problème.
AWS Batch
Une AMI optimisée mise à jour pour Amazon ECS en tant qu’AMI d’environnement de calcul par défaut est disponible. À titre de bonne pratique de sécurité générale, nous recommandons aux clients Batch de remplacer leurs environnements de calcul existants par la dernière AMI. Les instructions pour remplacer l’environnement de calcul sont disponibles dans la documentation de produit Batch.
Les clients Batch qui n’utilisent pas l’AMI par défaut doivent contacter le fournisseur de leur système d’exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes. Vous pouvez trouver des instructions pour l’AMI personnalisée Batch dans la documentation de produit Batch.
Amazon SageMaker
Toutes les ressources SageMaker, y compris les instances SageMaker Notebook, SageMaker Training Jobs, SageMaker Processing Jobs, SageMaker Batch Transform Jobs, SageMaker Studio et SageMaker Inference, créées ou redémarrées après le 2 février 2024, utiliseront automatiquement le correctif. Pour SageMaker Inference, tous les points de terminaison actifs qui n’ont pas été recréés seront automatiquement corrigés d’ici le 7 février 2024.
Toute question ou préoccupation liée à la sécurité peut nous être adressée à : aws-security@amazon.com.