Anda sedang membaca versi sebelumnya dari buletin keamanan ini. Untuk versi terbaru, kunjungi: "Masalah Keamanan Kontainer (CVE-2019-5736)".
11 Februar 2019 12.00 PST
Pengidentifikasi CVE: CVE-2019-5736
AWS menyadari masalah keamanan yang terungkap baru-baru ini yang memengaruhi sejumlah sistem manajemen kontainer sumber terbuka (CVE-2019-5736). Pelanggan tidak perlu melakukan tindakan apa pun untuk mengatasi masalah ini, kecuali Layanan AWS yang tercantum di bawah ini.
Amazon Linux
Versi yang diperbarui dari Docker tersedia untuk repositori Amazon Linux 2 (ALAS-2019-1156) dan AMI Amazon Linux 2018.03 (ALAS-2019-1156). AWS menganjurkan agar pelanggan yang menggunakan Docker di Amazon Linux untuk meluncurkan instans baru dari versi AMI terbaru. Informasi lebih lanjut tersedia di Pusat Keamanan Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
AMI yang dioptimalkan Amazon ECS, termasuk AMI Amazon Linux, AMI Amazon Linux 2, dan AMI yang Dioptimalkan GPU, saat ini telah tersedia. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan ECS memperbarui konfigurasi mereka untuk meluncurkan instans kontainer baru dari versi AMI terbaru. Pelanggan harus mengganti instans kontainer yang sudah ada dengan versi AMI yang baru untuk mengatasi masalah yang dijelaskan di atas. Instruksi untuk mengganti instans kontainer yang sudah ada dapat ditemukan di dokumentasi ECS untuk AMI Amazon Linux, AMI Amazon Linux 2, dan AMI yang Dioptimalkan GPU.
Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan ECS disarankan untuk menghubungi vendor sistem pengoperasian, perangkat lunak, atau AMI untuk pembaruan dan instruksi yang diperlukan. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
AMI yang Dioptimalkan Amazon EKS yang diperbarui tersedia di AWS Marketplace. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan EKS memperbarui konfigurasi mereka untuk meluncurkan node pekerja baru dari versi AMI terbaru. Pelanggan harus mengganti node pekerja yang sudah ada dengan versi AMI yang baru untuk mengatasi masalah yang dijelaskan di atas. Instruksi tentang cara memperbarui node pekerja dapat ditemukan di dokumentasi EKS.
Pelanggan Linux yang tidak menggunakan AMI yang Dioptimalkan EKS harus menghubungi vendor sistem pengoperasian mereka untuk meminta pembaruan yang dibutuhkan guna mengatasi masalah ini. Instruksi tentang Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
AWS Fargate
Versi yang diperbarui dari Fargate tersedia untuk Versi Platform 1.3 yang memitigasi masalah yang dijelaskan di CVE-2019-5736. Versi yang di-patch dari Versi Platform sebelumnya (1.0.0, 1.1.0, 1.2.0) akan tersedia pada 15 Maret 2019.
Pelanggan yang menjalankan Layanan Fargate harus menghubungi UpdateService dengan mengaktifkan "--force-new-deployment" untuk meluncurkan semua Tugas baru di Versi Platform 1.3 terbaru. Pelanggan yang menjalankan tugas mandiri harus menghentikan tugas yang ada, dan meluncurkan kembali menggunakan versi terbaru. Instruksi spesifik dapat ditemukan di dokumentasi pembaruan Fargate.
Semua tugas yang tidak ditingkatkan ke versi yang di-patch akan ditarik pada 19 April 2019. Pelanggan yang menggunakan tugas mandiri harus meluncurkan tugas baru untuk menggantikan tugas yang ditarik. Rincian lainnya dapat ditemukan di dokumentasi Penarikan Tugas Fargate.
AWS IoT GreenGrass
Versi yang diperbarui dari core AWS IoT GreenGrass tersedia untuk 1.7.1 dan 1.6.1. Versi yang diperbarui memerlukan fitur yang tersedia di kernel Linux versi 3.17 atau lebih tinggi. Instruksi tentang cara memperbarui kernel Anda dapat ditemukan di sini.
Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan yang menajalankan core GreenGrass versi apa pun melakukan peningkatan ke versi 1.7.1. Instruksi untuk memperbarui over-the-air dapat ditemukan di sini.
AWS Batch
AMI yang Dioptimalkan Amazon ECS yang diperbarui tersedia sebagai AMI Lingkungan Komputasi default. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan Batch mengganti Lingkungan Komputasi yang ada dengan AMI terbaru yang tersedia. Instruksi untuk mengganti Lingkungan Komputasi tersedia di dokumentasi produk Batch.
Pelanggan Batch yang tidak menngunakan AMI default harus menghubungi vendor sistem operasi mereka untuk pembaruan yang diperlukan guna mengatasi masalah ini. Instruksi untuk AMI yang disesuaikan Batch tersedia di dokumentasi produk Batch.
AWS Elastic Beanstalk
Versi platform AWS Elastic Beanstalk berbasis Docker yang telah diperbarui telah tersedia. Pelanggan yang menggunakan Pembaruan Platform Terkelola secara otomatis akan diperbarui ke versi platform terbaru pada jendela pemeliharaan pilihan mereka tanpa memerlukan tindakan lainnya. Pelanggan juga dapat segera melakukan pembaruan dengan masuk ke halaman konfigurasi Pembaruan Terkelola dan klik pada tombol “Terapkan Sekarang”. Pelanggan yang belum mengaktifkan Pembaruan Platform Terkelola dapat memperbarui versi platform lingkungannya dengan mengikuti instruksi di sini.
AWS Cloud9
Versi yang diperbarui dari lingkungan AWS Cloud9 dengan Amazon Linux telah tersedia. Secara default, pelanggan akan memiliki patch keamanan yang diterapkan pada boot pertama. Pelanggan yang memiliki lingkungan AWS Cloud9 berbasis EC2 harus meluncurkan instans baru dari AWS Cloud9 versi terbaru. Informasi lebih lanjut tersedia di Pusat Keamanan Amazon Linux.
Pelanggan AWS Cloud9 yang menggunakan lingkungan SSH yang dibangun bukan dengan Amazon Linux harus menghubungi vendor sistem operasi mereka untuk meminta pembaruan yang dibutuhkan guna mengatasi masalah ini.
AWS SageMaker
Versi yang diperbarui dari Amazon SageMaker telah tersedia. Pelanggan yang menggunakan kontainer algoritme default atau kontainer kerangka kerja Amazon SageMaker untuk pelatihan, penyetelan, transformasi batch, atau titik akhir tidak terpengaruh. Pelanggan yang menjalankan tugas pelabelan atau kompilasi juga tidak terpengaruh. Pelanggan yang tidak menggunakan notebook Amazon SageMaker untuk menjalankan kontainer Docker tidak terpengaruh. Selain itu, semua notebook Amazon SageMaker yang diluncurkan pada 11 Februari atau setelahnya dengan instans CPU menyertakan pembaruan terbaru dan tidak memerlukan tindakan pelanggan apa pun. Semua titik akhir, pelabelan, pelatihan, penyetelan, kompilasi, dan tugas transformasi batch yang diluncurkan pada 11 Februari atau setelahnya menyertakan pembaruan terbaru dan tidak memerlukan tindakan pelanggan apa pun.
AWS menganjurkan agar pelanggan yang menjalankan tugas pelatihan, penyetelan, dan transformasi batch dengan kode khusus yang dibuat sebelum 11 Februari harus menghentikan tugas mereka dan memulainya dengan menyertakan pembaruan terbaru. Tindakan ini dapat dilakukan dari konsol Amazon SageMaker atau dengan mengikuti instruksi di sini.
Amazon SageMaker secara otomatis memperbarui semua titik akhir yang aktif ke perangkat lunak terbaru setiap empat pekan. Semua titik akhir yang dibuat sebelum 11 Februari sebaiknya telah diperbarui pada 11 Maret. Jika terdapat masalah dengan pembaruan otomatis dan pelanggan perlu bertindak untuk memperbarui titik akhir mereka, Amazon SageMaker akan mempublikasikan pemberitahuan di Personal Health Dashboard Amazon. Pelanggan yang ingin memperbarui titik akhir mereka dengan lebih cepat dapat memperbarui titik akhir secara manual dari konsol Amazon SageMaker atau menggunakan tindakan API UpdateEndpoint setiap saat. Kami menganjurkan agar pelanggan yang memiliki titik akhir dengan penskalaan otomatis yang diaktifkan mengambil langkah pencegahan tambahan dengan mengikuti instruksi di sini.
AWS menganjurkan agar pelanggan yang menjalankan kontainer Docker di notebook Amazon SageMaker yang dijalankan dengan instans CPU menghentikan dan memulai instans notebook Amazon SageMaker untuk mendapatkan perangkat lunak terbaru yang tersedia. Tindakan ini dapat dilakukan dari konsol Amazon SageMaker. Cara lainnya, pelanggan dapat terlebih dahulu menghentikan instans notebook menggunakan API StopNotebookInstance lalu memulai instans notebook menggunakan API StartNotebookInstance.
Versi yang diperbarui dari notebook Amazon SageMaker dengan instans GPU akan segera tersedia untuk pelanggan setelah patch Nvidia dirilis. Buletin ini akan diperbarui bila versi yang diperbarui telah tersedia. Pelanggan yang menjalankan kontainer Docker di notebook dengan instans GPU dapat mengambil tindakan preventif dengan menghentikan instans notebook mereka secara sementara melalui konsol, atau dengan menggunakan API StopNotebookInstance lalu memulai instans notebook menggunakan StartNotebookInstance setelah versi pembaruan tersedia.
AWS RoboMaker
Versi yang diperbarui dari lingkungan pengembangan AWS RoboMaker akan segera tersedia setelah Canonical dan Docker merilis patch. Buletin ini akan diperbarui saat pembaruan tersedia. Sebagai praktik terbaik keamanan umum, AWS menganjurkan agar pelanggan yang menggunakan lingkungan pengembangan RoboMaker untuk memperbarui lingkungan Cloud9 mereka ke versi terbaru.
Versi yang diperbarui dari core AWS IoT Greengrass akan tersedia pada 11 Februari 2019. Buletin ini akan diperbarui bila versi yang diperbarui tersedia. Seluruh pelanggan yang menggunakan Manajemen Armada RoboMaker harus meningkatkan core Greengrass ke versi terbaru setelah pembaruan core Greengrass tersedia. Pelanggan harus mengikuti instruksi ini untuk menerima pembaruan.
AMI AWS Deep Learning
Versi yang diperbarui dari AMI Deep Learning Base dan AMI Deep Learning untuk Amazon Linux telah tersedia di AWS Marketplace. AWS menganjurkan agar pelanggan yang pernah menggunakan Docker dengan AMI Deep Learning atau AMI Deep Learning Base meluncurkan instans baru dari versi AMI terbaru (v21.1 untuk AMI Deep Learning dan v16.1 untuk AMI Deep Learning Base pada Amazon Linux). Informasi tambahan tersedia di Pusat Keamanan Amazon Linux.
AWS menganjurkan agar pelanggan yang pernah menggunakan Docker dengan AMI Deep Learning atau AMI Deep Leraning Base di Ubuntu meluncurkan instans baru dari versi AMI terbaru dan mengikuti instruksi berikut untuk memperbarui Docker (memastikan seluruh langkah penginstalan telah diikuti).
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
Versi yang diperbarui dari AMI Deep Learning Base dan AMI Deep Learning untuk Ubuntu akan tersedia untuk diunduh setelah seluruh patch keamanan yang relevan dirilis. Buletin ini akan diperbarui saat AMI yang diperbarui tersedia.
AWS juga menganjurkan agar pelanggan memantau Buletin Keamanan dari Nvidia untuk pembaruan ke nvidia-docker2 dan produk terkait.