Anda sedang membaca versi lama buletin keamanan ini. Untuk versi terbaru, kunjungi: "Masalah Keamanan Kontainer (CVE-2019-5736)".

11 Februari 2019 7:00 AM PST

Pengidentifikasi CVE: CVE-2019-5736

AWS menyadari masalah keamanan yang terungkap baru-baru ini yang memengaruhi sejumlah sistem manajemen kontainer sumber terbuka (CVE-2019-5736). Pelanggan tidak perlu melakukan tindakan apa pun untuk mengatasi masalah ini, kecuali Layanan AWS yang tercantum di bawah ini.

Amazon Linux

Versi yang diperbarui dari Docker tersedia untuk repositori Amazon Linux 2 (ALAS-2019-1156) dan AMI Amazon Linux 2018.03 (ALAS-2019-1156). AWS menganjurkan agar pelanggan yang menggunakan Docker di Amazon Linux untuk meluncurkan instans baru dari versi AMI terbaru. Informasi lebih lanjut tersedia di Pusat Keamanan Amazon Linux.

Amazon Elastic Container Service (Amazon ECS)

Perbaruan AMI yang Dioptimalkan Amazon ECS, termasuk AMI Amazon Linux, AMI Amazon Linux 2, dan AMI yang Dioptimalkan GPU, akan tersedia pada 11 Februari 2019. Buletin ini akan diperbarui bila pembaruan AMI telah tersedia. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan ECS memperbarui konfigurasi mereka untuk meluncurkan instans kontainer baru dari versi AMI terbaru. Pelanggan harus mengganti instans kontainer yang sudah ada dengan versi AMI baru untuk mengatasi masalah yang dijelaskan di atas. Instruksi untuk mengganti instans kontainer yang sudah ada dapat ditemukan di dokumentasi ECS untuk AMI Amazon Linux, AMI Amazon Linux 2, dan AMI yang Dioptimalkan GPU.

Untuk pembaruan dan instruksi yang diperlukan, pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan ECS disarankan untuk menghubungi vendor sistem operasi, perangkat lunak, atau AMI alternatif/pihak ketiga. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan Amazon Linux.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Pembaruan AMI yang Dioptimalkan Amazon EKS akan tersedia pada 11 Februari 2019. Buletin ini akan diperbarui bila pembaruan AMI telah tersedia. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan EKS memperbarui konfigurasi mereka untuk meluncurkan node pekerja baru dari versi AMI terbaru. Pelanggan harus mengganti node pekerja yang sudah ada dengan versi AMI baru untuk mengatasi masalah yang dijelaskan di atas. Instruksi tentang cara memperbarui node pekerja dapat ditemukan di dokumentasi EKS.

Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan EKS harus menghubungi vendor sistem operasi mereka untuk meminta pembaruan yang dibutuhkan guna mengatasi masalah ini. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan Amazon Linux.

AWS Fargate

Versi yang diperbarui dari Fargate tersedia untuk Versi Platform 1.3 yang memitigasi masalah yang dijelaskan di CVE-2019-5736. Versi yang di-patch dari Versi Platform sebelumnya (1.0.0, 1.1.0, 1.2.0) akan tersedia pada 15 Maret 2019.

Pelanggan yang menjalankan Layanan Fargate harus menghubungi UpdateService dengan mengaktifkan "--force-new-deployment" untuk meluncurkan semua Tugas baru di Versi Platform 1.3 terbaru. Pelanggan yang menjalankan tugas mandiri harus menghentikan tugas yang ada, dan meluncurkan kembali menggunakan versi terbaru. Instruksi spesifik dapat ditemukan di dokumentasi pembaruan Fargate.

Semua tugas yang tidak diperbarui ke versi yang di-patch akan ditarik pada 19 April 2019. Pelanggan yang menggunakan tugas mandiri harus meluncurkan tugas baru untuk menggantikan tugas yang ditarik. Rincian lainnya dapat ditemukan di dokumentasi Penarikan Tugas Fargate.

AWS IoT Greengrass

Versi yang diperbarui dari core AWS IoT Greengrass akan tersedia pada 11 Februari 2019. Buletin ini akan diperbarui bila versi yang di-patch telah tersedia. Versi yang diperbarui memerlukan fitur yang tersedia di kernel Linux versi 3.17 atau lebih tinggi. Instruksi tentang cara memperbarui kernel Anda dapat ditemukan di sini.

Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan yang menjalankan core GreenGrass versi apa pun melakukan peningkatan ke versi 1.7.1. Instruksi untuk memperbarui over-the-air dapat ditemukan di sini.

AWS Batch

Pembaruan AMI yang Dioptimalkan Amazon ECS akan tersedia pada 11 Februari 2019, sebagai AMI Lingkungan Komputasi default. Buletin ini akan diperbarui bila pembaruan AMI tersedia. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan Batch mengganti Lingkungan Komputasi yang ada dengan AMI terbaru begitu tersedia. Bagi pelanggan Batch yang perlu pembaruan segera, kami sarankan untuk mengesampingkan AMI default dengan AMI yang Dioptimalkan ECS terbaru saat membuat Lingkungan Komputasi. Instruksi untuk mengganti Lingkungan Komputasi tersedia di dokumentasi produk Batch.

Pelanggan Batch yang tidak menngunakan AMI default harus menghubungi vendor sistem operasi mereka untuk pembaruan yang diperlukan guna mengatasi masalah ini. Instruksi untuk AMI yang disesuaikan Batch tersedia di dokumentasi produk Batch.

AWS Elastic Beanstalk

Platform berbasis Docker AWS Elastic Beanstalk yang telah diperbarui akan tersedia pada 11 Februari 2019. Buletin ini akan diperbarui bila versi platform baru telah tersedia. Pelanggan yang menggunakan Pembaruan Platform Terkelola secara otomatis akan diperbarui ke versi platform terbaru pada jendela pemeliharaan pilihan mereka tanpa memerlukan tindakan lainnya. Pelanggan juga dapat segera melakukan pembaruan dengan masuk ke halaman konfigurasi Pembaruan Terkelola dan klik pada tombol “Terapkan Sekarang”. Pelanggan yang belum mengaktifkan Pembaruan Platform Terkelola dapat memperbarui versi platform lingkungannya dengan mengikuti petunjuk di sini.

AWS Cloud9

Versi yang diperbarui dari lingkungan AWS Cloud9 dengan Amazon Linux telah tersedia. Secara default, pelanggan akan memiliki patch keamanan yang diterapkan pada boot pertama. Pelanggan yang memiliki lingkungan AWS Cloud9 berbasis EC2 harus meluncurkan instans baru dari AWS Cloud9 versi terbaru. Informasi lebih lanjut tersedia di Pusat Keamanan Amazon Linux.

Pelanggan AWS Cloud9 yang menggunakan lingkungan SSH yang dibangun bukan dengan Amazon Linux harus menghubungi vendor sistem operasi mereka untuk meminta pembaruan yang dibutuhkan guna mengatasi masalah ini.

FAQ AWS SageMaker

Versi yang diperbarui dari Amazon SageMaker telah tersedia. Pelanggan yang menggunakan kontainer algoritme default atau kontainer kerangka kerja Amazon SageMaker untuk pelatihan, penyetelan, transformasi batch, atau titik akhir tidak terpengaruh. Pelanggan yang menjalankan tugas pelabelan atau kompilasi juga tidak terpengaruh. Pelanggan yang tidak menggunakan notebook Amazon SageMaker untuk menjalankan kontainer Docker tidak terpengaruh. Selain itu, semua notebook Amazon SageMaker yang diluncurkan pada 11 Februari atau setelahnya dengan instans CPU menyertakan pembaruan terbaru dan tidak memerlukan tindakan pelanggan apa pun. Semua titik akhir, pelabelan, pelatihan, penyetelan, kompilasi, dan tugas transformasi batch yang diluncurkan pada 11 Februari atau setelahnya, menyertakan pembaruan terbaru dan tidak memerlukan tindakan pelanggan apa pun.

AWS menganjurkan agar pelanggan yang menjalankan tugas pelatihan, penyetelan, dan transformasi batch dengan kode khusus yang dibuat sebelum 11 Februari harus menghentikan tugas itu dan memulainya dengan menyertakan pembaruan terbaru. Tindakan ini dapat dilakukan dari konsol Amazon SageMaker atau dengan mengikuti instruksi di sini.

Amazon SageMaker secara otomatis memperbarui semua titik akhir yang aktif ke perangkat lunak terbaru setiap empat pekan. Semua titik akhir yang dibuat sebelum 11 Februari sebaiknya telah diperbarui pada 11 Maret. Jika terdapat masalah dengan pembaruan otomatis dan pelanggan perlu bertindak untuk memperbarui titik akhir mereka, Amazon SageMaker akan mempublikasikan pemberitahuan di Personal Health Dashboard Amazon. Pelanggan yang ingin memperbarui titik akhir mereka dengan lebih cepat dapat memperbarui titik akhir secara manual dari konsol Amazon SageMaker atau menggunakan tindakan API UpdateEndpoint setiap saat. Pelanggan yang memiliki titik akhir dengan penskalaan otomatis teraktifkan dianjurkan untuk mengambil langkah pencegahan tambahan dengan mengikuti instruksi di sini.

AWS menganjurkan agar pelanggan yang menjalankan kontainer Docker di notebook Amazon SageMaker yang dijalankan dengan instans CPU menghentikan dan memulai instans notebook Amazon SageMaker untuk mendapatkan perangkat lunak terbaru yang tersedia. Tindakan ini dapat dilakukan dari konsol Amazon SageMaker. Cara lainnya, pelanggan dapat terlebih dahulu menghentikan instans notebook menggunakan API StopNotebookInstance lalu memulai instans notebook menggunakan API StartNotebookInstance.

Versi yang diperbarui dari notebook Amazon SageMaker dengan instans GPU akan segera tersedia untuk pelanggan setelah patch Nvidia dirilis. Buletin ini akan diperbarui bila versi yang diperbarui telah tersedia. Pelanggan yang menjalankan kontainer Docker di notebook dengan instans GPU dapat mengambil tindakan preventif dengan menghentikan instans notebook mereka secara sementara melalui konsol, atau dengan menggunakan API StopNotebookInstance lalu memulai instans notebook menggunakan StartNotebookInstance setelah versi pembaruan tersedia.

AWS RoboMaker

Versi yang diperbarui dari lingkungan pengembangan AWS RoboMaker akan segera tersedia setelah Canonical dan Docker merilis patch. Buletin ini akan diperbarui bila pembaruan telah tersedia. Sebagai praktik terbaik keamanan umum, AWS menganjurkan agar pelanggan yang menggunakan lingkungan pengembangan RoboMaker untuk memperbarui lingkungan Cloud9 mereka ke versi terbaru.

Versi yang diperbarui dari core AWS IoT Greengrass akan tersedia pada 11 Februari 2019. Buletin ini akan diperbarui bila versi yang diperbarui telah tersedia. Semua pelanggan yang menggunakan Manajemen Armada RoboMaker harus meningkatkan core Greengrass ke versi terbaru setelah pembaruan core Greengrass tersedia. Pelanggan harus mengikuti instruksi ini untuk menerima pembaruan.

AMI AWS Deep Learning

AWS menganjurkan agar pelanggan yang pernah menggunakan Docker dengan AMI Deep Learning atau AMI Deep Learning Base meluncurkan instans baru dari versi AMI terbaru dan menjalankan perintah berikut ini untuk melakukan peningkatan Docker:

sudo yum tingkatkan docker

Versi yang diperbarui dari AMI Deep Learning Base dan AMI Deep Learning akan tersedia untuk diunduh setelah seluruh patch keamanan yang relevan dirilis. Buletin ini akan diperbarui bila AMI yang diperbarui telah tersedia.

Informasi tambahan tersedia di Pusat Keamanan Amazon Linux.

Setelah pembaruan Docker atau Ubuntu dirilis untuk masalah yang dijelaskan di CVE-2019-5736, AWS menganjurkan agar pelanggan yang pernah menggunakan Docker dengan AMI Deep Learning atau AMI Deep Leraning Base di Ubuntu meluncurkan instans baru dari versi AMI terbaru dan mengikuti instruksi berikut untuk memperbarui Docker (pastikan seluruh langkah penginstalan telah diikuti):

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

AWS juga menganjurkan agar pelanggan memantau Buletin Keamanan dari Nvidia untuk pembaruan ke nvidia-docker2 dan produk terkait.