Pengidentifikasi CVE: CVE-2020-8558
Ini merupakan pembaruan untuk masalah ini.
AWS mengetahui adanya masalah keamanan yang baru-baru ini disampaikan oleh komunitas Kubernetes, yang memengaruhi jaringan kontainer Linux (CVE-2020-8558). Masalah ini dapat memungkinkan kontainer yang berjalan pada host yang sama, atau host yang berdekatan (host yang berjalan dalam LAN yang sama atau domain 2 lapisan), untuk menjangkau layanan TCP dan UDP yang mengarah ke host lokal (127.0.0.1).
Semua kontrol keamanan AWS untuk mempertahankan isolasi di antara pelanggan di Amazon ECS dan Amazon EKS terus berfungsi seperti seharusnya. Masalah ini tidak menyebabkan risiko akses data lintas akun. Proses dalam kontainer pada satu host mungkin bisa mendapatkan akses jaringan yang tidak diinginkan ke kontainer lain pada host yang sama tersebut, atau pada host dalam VPC dan subnet yang sama. Tindakan pelanggan dibutuhkan, dan beberapa langkah untuk mitigasi segera tersedia di https://github.com/aws/containers-roadmap/issues/976. Semua pelanggan Amazon ECS dan Amazon EKS sebaiknya memperbarui ke AMI terbaru.
AWS Fargate
AWS Fargate tidak terpengaruh. Pelanggan tidak perlu melakukan tindakan apa pun.
Amazon Elastic Container Service (Amazon ECS)
AMI yang Dioptimalkan Amazon ECS Terbaru kini tersedia. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan ECS memperbarui konfigurasi mereka untuk meluncurkan instans kontainer baru dari versi AMI terbaru.
Pelanggan dapat memutakhirkan AMI mereka dengan merujuk pada dokumentasi ECS.
Amazon Elastic Kubernetes Service (Amazon EKS)
AMI yang Dioptimalkan Amazon EKS Terbaru kini tersedia. Sebagai praktik terbaik keamanan umum, kami menganjurkan agar pelanggan EKS memperbarui konfigurasi mereka untuk meluncurkan node pekerja baru dari versi AMI terbaru.
Pelanggan yang menggunakan grup node Dikelola dapat memutakhirkan grup node mereka dengan merujuk pada dokumentasi EKS. Pelanggan yang mengelola sendiri node pekerja sebaiknya mengganti instans yang ada dengan versi AMI baru dengan merujuk pada dokumentasi EKS.
Pengidentifikasi CVE: CVE-2020-8558
Anda melihat versi sebelumnya dari buletin keamanan ini.
AWS mengetahui adanya masalah keamanan yang baru-baru ini disampaikan oleh komunitas Kubernetes, yang memengaruhi jaringan kontainer Linux (CVE-2020-8558). Masalah ini dapat memungkinkan memengaruhi kontainer yang berjalan pada host yang sama, atau host yang berdekatan (host yang berjalan dalam LAN yang sama atau domain 2 lapisan), untuk menjangkau layanan TCP dan UDP yang mengarah ke host lokal (127.0.0.1).
AWS Fargate tidak terpengaruh. Pelanggan tidak perlu melakukan tindakan apa pun.
Semua kontrol keamanan AWS untuk mempertahankan isolasi di antara pelanggan di Amazon ECS dan Amazon EKS terus berfungsi seperti seharusnya. Masalah ini tidak menyebabkan risiko akses data lintas akun. Proses dalam kontainer pada satu host mungkin bisa mendapatkan akses jaringan yang tidak diinginkan ke kontainer lain pada host yang sama tersebut, atau pada host dalam VPC dan subnet yang sama. Tindakan pelanggan dibutuhkan, dan beberapa langkah untuk mitigasi segera tersedia di: https://github.com/aws/containers-roadmap/issues/976.
Kami akan merilis Amazon Machine Image terbaru untuk Amazon ECS dan Amazon EKS, dan pelanggan sebaiknya memperbarui ke AMI ini segera setelah tersedia.
AWS Fargate
AWS Fargate tidak terpengaruh. Pelanggan tidak perlu melakukan tindakan apa pun.
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS akan merilis AMI yang Dioptimalkan ECS terbaru, termasuk Amazon Linux AMI, Amazon Linux 2 AMI, AMI yang Dioptimalkan GPU, AMI yang Dioptimalkan ARM, dan AMI yang Dioptimalkan Inferentia pada 9 Juli 2020. Memperbarui ke salah satu AMI ini akan memitigasi masalah tersebut. Buletin ini akan diperbarui bila pembaruan AMI telah tersedia.
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS akan merilis AMI yang Dioptimalkan EKS terbaru, termasuk AMI yang Dioptimalkan EKS Amazon Linux 2 dan AMI yang dipercepat yang Dioptimalkan EKS untuk Kubernetes 1.14, 1.15, dan 1.16 pada 9 Juli 2020. Memperbarui ke salah satu AMI ini akan memitigasi masalah tersebut. Buletin ini akan diperbarui bila pembaruan AMI telah tersedia.