13 Februari 2019 21.00 PST
Pengidentifikasi CVE: CVE-2019-5736
AWS menyadari masalah keamanan yang terungkap baru-baru ini yang memengaruhi sejumlah sistem manajemen kontainer sumber terbuka (CVE-2019-5736). Pelanggan tidak perlu melakukan tindakan apa pun untuk mengatasi masalah ini, kecuali Layanan AWS yang tercantum di bawah ini.
Amazon Linux
Versi yang diperbarui dari Docker (docker-18.06.1ce-7.amzn2) tersedia untuk repositori ekstra Amazon Linux 2 dan AMI Amazon Linux 2018.03 (ALAS-2019-1156). AWS menganjurkan agar pelanggan yang menggunakan Docker di Amazon Linux untuk meluncurkan instans baru dari versi AMI terbaru. Informasi lebih lanjut tersedia di Pusat Keamanan Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
AMI yang dioptimalkan Amazon ECS, termasuk AMI Amazon Linux, AMI Amazon Linux 2, dan AMI yang Dioptimalkan GPU, kini telah tersedia. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan ECS memperbarui konfigurasi mereka untuk meluncurkan instans kontainer baru dari versi AMI terbaru. Pelanggan harus mengganti instans kontainer yang sudah ada dengan versi AMI baru untuk mengatasi masalah yang dijelaskan di atas. Instruksi untuk mengganti instans kontainer yang sudah ada dapat ditemukan di dokumentasi ECS untuk AMI Amazon Linux, AMI Amazon Linux 2, dan AMI yang Dioptimalkan GPU.
Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan ECS disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
AMI yang Dioptimalkan Amazon EKS yang diperbarui tersedia di AWS Marketplace. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan EKS memperbarui konfigurasi mereka untuk meluncurkan node pekerja baru dari versi AMI terbaru. Pelanggan harus mengganti node pekerja yang sudah ada dengan versi AMI baru untuk mengatasi masalah yang dijelaskan di atas. Instruksi tentang cara memperbarui node pekerja dapat ditemukan di dokumentasi EKS.
Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan EKS harus menghubungi vendor sistem operasi mereka untuk meminta pembaruan yang dibutuhkan guna mengatasi masalah ini. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
AWS Fargate
Versi yang diperbarui dari Fargate tersedia untuk Versi Platform 1.3 yang memitigasi masalah yang dijelaskan di CVE-2019-5736. Versi yang di-patch dari Versi Platform sebelumnya (1.0.0, 1.1.0, 1.2.0) akan tersedia pada 15 Maret 2019.
Pelanggan yang menjalankan Layanan Fargate harus menghubungi UpdateService dengan mengaktifkan "--force-new-deployment" untuk meluncurkan semua Tugas baru di Versi Platform 1.3 terbaru. Pelanggan yang menjalankan tugas mandiri harus menghentikan tugas yang ada, dan meluncurkan kembali menggunakan versi terbaru. Instruksi spesifik dapat ditemukan di dokumentasi pembaruan Fargate.
Semua tugas yang tidak diperbarui ke versi yang di-patch akan ditarik pada 19 April 2019. Pelanggan yang menggunakan tugas mandiri harus meluncurkan tugas baru untuk menggantikan tugas yang ditarik. Rincian lainnya dapat ditemukan di dokumentasi Penarikan Tugas Fargate.
AWS IoT Greengrass
Untuk 1.7.1 dan 1.6.1, versi core AWS IoT GreenGrass yang diperbarui telah tersedia. Versi yang diperbarui memerlukan fitur yang tersedia di kernel Linux versi 3.17 atau lebih tinggi. Instruksi tentang cara memperbarui kernel Anda dapat ditemukan di sini.
Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan yang menjalankan core GreenGrass versi apa pun melakukan peningkatan ke versi 1.7.1. Instruksi untuk memperbarui over-the-air dapat ditemukan di sini.
AWS Batch
AMI yang Dioptimalkan Amazon ECS yang diperbarui tersedia sebagai AMI Lingkungan Komputasi default. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan Batch mengganti Lingkungan Komputasi yang ada dengan AMI terbaru yang tersedia. Instruksi untuk mengganti Lingkungan Komputasi tersedia di dokumentasi produk Batch.
Pelanggan Batch yang tidak menngunakan AMI default harus menghubungi vendor sistem operasi mereka untuk pembaruan yang diperlukan guna mengatasi masalah ini. Instruksi untuk AMI yang disesuaikan Batch tersedia di dokumentasi produk Batch.
AWS Elastic Beanstalk
Versi platform berbasis Docker AWS Elastic Beanstalk yang telah diperbarui telah tersedia. Pelanggan yang menggunakan Pembaruan Platform Terkelola secara otomatis akan diperbarui ke versi platform terbaru pada jendela pemeliharaan pilihan mereka tanpa memerlukan tindakan lainnya. Pelanggan juga dapat segera melakukan pembaruan dengan masuk ke halaman konfigurasi Pembaruan Terkelola dan klik pada tombol “Terapkan Sekarang”. Pelanggan yang belum mengaktifkan Pembaruan Platform Terkelola dapat memperbarui versi platform lingkungannya dengan mengikuti petunjuk di sini.
AWS Cloud9
Versi yang diperbarui dari lingkungan AWS Cloud9 dengan Amazon Linux telah tersedia. Secara default, pelanggan akan memiliki patch keamanan yang diterapkan pada boot pertama. Pelanggan yang memiliki lingkungan AWS Cloud9 berbasis EC2 harus meluncurkan instans baru dari AWS Cloud9 versi terbaru. Informasi lebih lanjut tersedia di Pusat Keamanan Amazon Linux.
Pelanggan AWS Cloud9 yang menggunakan lingkungan SSH yang dibangun bukan dengan Amazon Linux harus menghubungi vendor sistem operasi mereka untuk meminta pembaruan yang dibutuhkan guna mengatasi masalah ini.
FAQ AWS SageMaker
Versi yang diperbarui dari Amazon SageMaker telah tersedia. Pelanggan yang menggunakan kontainer algoritme default atau kontainer kerangka kerja Amazon SageMaker untuk pelatihan, penyetelan, transformasi batch, atau titik akhir tidak terpengaruh. Pelanggan yang menjalankan tugas pelabelan atau kompilasi juga tidak terpengaruh. Pelanggan yang tidak menggunakan notebook Amazon SageMaker untuk menjalankan kontainer Docker tidak terpengaruh. Semua titik akhir, pelabelan, pelatihan, penyetelan, kompilasi, dan tugas transformasi batch yang diluncurkan pada 11 Februari atau setelahnya menyertakan pembaruan terbaru dan tidak memerlukan tindakan pelanggan apa pun. Semua notebook Amazon SageMaker yang diluncurkan pada 11 Februari atau setelahnya dengan instans CPU dan semua notebook Amazon SageMaker yang diluncurkan pada 13 Februari 18:00 PT atau setelahnya dengan instans GPU, menyertakan pembaruan terbaru dan tidak memerlukan tindakan pelanggan apa pun.
AWS menganjurkan agar pelanggan yang menjalankan tugas pelatihan, penyetelan, dan transformasi batch dengan kode khusus yang dibuat sebelum 11 Februari harus menghentikan tugas itu dan memulainya dengan menyertakan pembaruan terbaru. Tindakan ini dapat dilakukan dari konsol Amazon SageMaker atau dengan mengikuti instruksi di sini.
Amazon SageMaker secara otomatis memperbarui semua titik akhir yang aktif ke perangkat lunak terbaru setiap empat pekan. Semua titik akhir yang dibuat sebelum 11 Februari sebaiknya telah diperbarui pada 11 Maret. Jika terdapat masalah dengan pembaruan otomatis dan pelanggan perlu bertindak untuk memperbarui titik akhir mereka, Amazon SageMaker akan mempublikasikan pemberitahuan di Personal Health Dashboard Amazon. Pelanggan yang ingin memperbarui titik akhir mereka dengan lebih cepat dapat memperbarui titik akhir secara manual dari konsol Amazon SageMaker atau menggunakan tindakan API UpdateEndpoint setiap saat. Pelanggan yang memiliki titik akhir dengan penskalaan otomatis teraktifkan dianjurkan untuk mengambil langkah pencegahan tambahan dengan mengikuti instruksi di sini.
AWS menganjurkan agar pelanggan yang menjalankan kontainer Docker di notebook Amazon SageMaker yang dijalankan dengan instans CPU menghentikan dan memulai instans notebook Amazon SageMaker untuk mendapatkan perangkat lunak terbaru yang tersedia. Tindakan ini dapat dilakukan dari konsol Amazon SageMaker. Cara lainnya, pelanggan dapat terlebih dahulu menghentikan instans notebook menggunakan API StopNotebookInstance lalu memulai instans notebook menggunakan API StartNotebookInstance.
AWS RoboMaker
Versi yang diperbarui dari lingkungan pengembangan AWS RoboMaker telah tersedia. Lingkungan pengembangan baru akan menggunakan versi terbaru. Sebagai praktik terbaik keamanan umum, AWS menganjurkan agar pelanggan yang menggunakan lingkungan pengembangan RoboMaker untuk memperbarui lingkungan Cloud9 mereka ke versi terbaru.
Versi yang diperbarui dari core AWS IoT GreenGrass telah tersedia. Seluruh pelanggan yang menggunakan Pengelolaan Armada RoboMaker harus meningkatkan core GreenGrass ke versi 1.7.1. Instruksi untuk meningkatkan over-the-air dapat ditemukan di sini.
AMI AWS Deep Learning
Versi yang diperbarui dari AMI Deep Learning Base dan AMI Deep Learning untuk Amazon Linux telah tersedia di AWS Marketplace. AWS menganjurkan agar pelanggan yang pernah menggunakan Docker dengan AMI Deep Learning atau AMI Deep Learning Base meluncurkan instans baru dari versi AMI terbaru (v21.2 atau lebih baru untuk AMI Deep Learning pada Amazon Linux dan Ubuntu, v16.2 atau lebih baru untuk AMI Deep Learning Base pada Amazon Linux dan v15.2 atau lebih baru untuk AMI Deep Learning Base pada Ubuntu). Informasi lainnya tersedia di Pusat Keamanan Amazon Linux.