ID du bulletin : AWS-2025-024
Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 05/11/2025, 8 h 45 (heure du Pacifique)

Identifiants CVE : CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

AWS a connaissance des récents problèmes de sécurité divulgués affectant plusieurs systèmes de gestion des conteneurs open source (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) lors du lancement de nouveaux conteneurs. AWS ne considère pas les conteneurs comme des limites de sécurité et n’utilise pas de conteneurs pour isoler les clients les uns des autres. Ces problèmes ne présentent aucun risque entre clients. Les clients AWS qui utilisent des conteneurs pour isoler les charges de travail au sein de leurs propres environnements autogérés sont vivement encouragés à contacter le fournisseur de leur système d’exploitation pour toute mise à jour ou instruction nécessaire afin d’atténuer les problèmes potentiels liés à ces problèmes.

À l’exception des services AWS répertoriés ci-dessous, aucune action n’est nécessaire de la part du client pour remédier à ce problème. À titre de bonne pratique, AWS vous recommande toujours d’appliquer tous les correctifs de sécurité et les mises à jour des versions logicielles.

Amazon Linux

Une version mise à jour de runc sera disponible pour Amazon Linux 2 (runc-1.3.2-2.amzn2) et Amazon Linux 2023 (runc-1.3.2-2.amzn2023.0.1). AWS recommande aux clients utilisant Amazon Linux 2 ou Amazon Linux 2023 de mettre à jour leur version de runc vers la version 1.3.2-2 au minimum. Plus d’informations sont disponibles dans le centre de sécurité Amazon Linux.

Bottlerocket

Une version mise à jour de runc est incluse dans Bottlerocket 1.50.0, dont la publication est prévue le 5 novembre 2025. AWS recommande aux clients utilisant Bottlerocket d’appliquer cette mise à jour. De plus amples informations seront publiées dans les notes de publication de Bottlerocket.

Amazon Elastic Container Service (ECS)

Amazon ECS publiera une version mise à jour des Amazon Machine Images (AMI) optimisées pour Amazon ECS le 5 novembre 2025 (version 20251031). Cette version mise à jour inclut une nouvelle version de runc (version 1.3.2-2). Nous recommandons aux clients qui utilisent ECS sur des instances EC2 d’effectuer une mise à jour vers ces dernières AMI ou d’exécuter « yum update -security » pour obtenir les correctifs de sécurité. Consultez le guide de l’utilisateur de l’AMI optimisée pour Amazon ECS pour plus d’informations.

Amazon ECS Fargate inclura automatiquement une version mise à jour de runc dans toutes les tâches Fargate lancées après le 5 novembre 2025. Les clients n’ont aucune action à effectuer.

Les instances gérées Amazon ECS lanceront les nouvelles AMI le 5 novembre 2025, avec une version mise à jour de runc. ECS empêchera les nouvelles tâches d’être placées sur des instances de conteneur existantes. Au lieu de cela, toutes les nouvelles tâches seront placées sur de nouvelles instances de conteneur qui utiliseront les nouvelles AMI avec la version mise à jour de runc. Les clients n’ont aucune action à effectuer.

Amazon Elastic Kubernetes Service (EKS)

Amazon EKS publiera des AMI mises à jour avec le mode automatique EKS et contenant un environnement d’exécution de conteneur corrigé le 5 novembre 2025. Les NodePools en mode automatique définis sur les paramètres de dérive par défaut commenceront automatiquement à être mis à jour vers la version corrigée de l’AMI. Les nœuds dotés de contrôles de défaillance de nœud seront mis à jour vers la version corrigée dans les 21 jours suivant leur lancement initial. Pour mettre à jour vos nœuds immédiatement, vous pouvez les supprimer pour forcer leur remplacement immédiat. Les clients peuvent vérifier que les nœuds exécutent une AMI corrigée en exécutant kubectl get node -o wide et en inspectant le champ « OS Image » (Image de système d’exploitation). Les nœuds qui sont corrigés auront une date « 2025.11.01 » (1er novembre 2025) ou ultérieure, par exemple, Bottlerocket (EKS Auto, Standard) 2025.11.01 (aws-k8s-1.34-standard).

Amazon EKS publiera la version v20251103 des Amazon Machine Images (AMI) AL2/AL2023 optimisée pour EKS avec l’environnement d’exécution de conteneur corrigé le 5 novembre 2025. L’AMI EKS Bottlerocket 1.50.0 contient également l’environnement d’exécution de conteneur corrigé. Les clients qui utilisent des groupes de nœuds gérés peuvent mettre à niveau leurs groupes de nœuds en se référant à la documentation EKS. Les clients utilisant Karpenter peuvent mettre à jour leurs nœuds en suivant la documentation sur la dérive ou la sélection de l’AMI. Les clients utilisant des nœuds de travail autogérés peuvent remplacer les nœuds existants en consultant la documentation EKS.

Amazon EKS Fargate proposera une mise à jour pour les nouveaux pods sur les clusters nouveaux ou existants le 5 novembre 2025. Les clients doivent supprimer les pods Amazon EKS Fargate existants pour utiliser l’environnement d’exécution corrigé. Les clients peuvent vérifier que leurs nœuds sont corrigés avec la version de Kubelet se terminant par eks-3cfe0ce en exécutant kubectl get nodes. Consultez la documentation Premiers pas avec AWS Fargate à l’aide d’Amazon EKS pour plus d’informations sur la suppression et la création de pods Fargate.

Amazon EKS Anywhere publiera les versions mises à jour v0.24.0 et 0.23.5 avec la version corrigée de runc (version 1.3.2-2) le 6 novembre 2025. Les clients peuvent consulter la documentation Mettre à niveau un cluster d’EKS Anywhere pour savoir comment mettre à niveau des clusters afin d’utiliser des images de machines virtuelles corrigées.

AWS Elastic Beanstalk

Des versions à jour de la plateforme basée sur Docker AWS Elastic Beanstalk et ECS seront disponibles le 5 novembre 2025. Les clients qui utilisent les mises à jour de plateforme gérées obtiendront automatiquement une mise à jour vers la version la plus récente de la plateforme dans la fenêtre de maintenance sélectionnée sans qu’aucune action ne soit requise de leur part. Les clients peuvent également effectuer immédiatement une mise à jour en accédant à la page de configuration des mises à jour gérées et en cliquant sur le bouton « Apply now » (Appliquer maintenant). Les clients qui n’ont pas activé les mises à jour de plateforme gérées peuvent mettre à jour la version de plateforme de leur environnement en suivant les instructions qui se trouvent dans la documentation.

Finch

Une version mise à jour de runc sera disponible pour Finch pour les plateformes macOS et Windows le 5 novembre 2025 dans la dernière version, la v1.13.0. Les clients sont invités à mettre à jour leur installation Finch sur macOS et Windows pour résoudre ce problème. Les versions de Finch peuvent être téléchargées via la page de publication GitHub du projet ou en exécutant « brew update » si vous avez installé Finch via Homebrew. Une fois mise à jour, la machine virtuelle doit être réinitialisée en la retirant et en l’initialisant (init) à nouveau.

AWS Deep Learning AMI

Les AMI Deep Learning Amazon Linux 2 et Amazon Linux 2023 mises à jour seront disponibles le 5 novembre 2025. Les clients doivent installer la dernière version des AMI dès leur disponibilité.

AWS Batch

À titre de bonne pratique de sécurité générale, nous recommandons aux clients Batch de remplacer leurs environnements de calcul existants par la dernière AMI dès qu’elle sera disponible. Les instructions pour remplacer l’environnement de calcul sont disponibles dans la documentation de produit Batch. Une AMI optimisée mise à jour pour Amazon ECS et EKS sera disponible à compter du 12 novembre 2025 en tant qu’AMI d’environnement de calcul par défaut.

Les clients Batch qui n’utilisent pas l’AMI par défaut doivent contacter le fournisseur de leur système d’exploitation pour obtenir les mises à jour nécessaires à la résolution de ces problèmes. Vous pouvez trouver des instructions pour l’AMI personnalisée Batch dans la documentation de produit Batch.

Amazon SageMaker

Toutes les ressources SageMaker créées ou redémarrées après le 7 novembre 2025 incluront automatiquement la version corrigée de runc. Cela inclut les instances de bloc-notes Amazon SageMaker, SageMaker Training Jobs, SageMaker Processing Jobs, SageMaker Batch Transform Jobs, SageMaker Studio et SageMaker Inference. AWS commencera à appliquer des correctifs aux ressources SageMaker existantes créées avant le 7 novembre 2025 dès que l’AMI AWS Deep Learning et les AMI Amazon Linux seront disponibles.

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.