Stai visualizzando una versione precedente del bollettino di sicurezza. Per la versione più aggiornata, consulta: "Problema di sicurezza con i container (CVE-2019-5736)".
11 febbraio 2019 7:00 PST
Identificatore CVE: CVE-2019-5736
AWS è al corrente del problema di sicurezza emerso di recente che influisce su diversi sistemi di gestione dei container open source (CVE-2019-5736). Con l'eccezione dei servizi AWS riportati di seguito, non sono richiesti interventi da parte dei clienti per rispondere a questo problema.
Amazon Linux
È disponibile una versione aggiornata di Docker per i repository 2018.03 dell'AMI Amazon Linux 2 (ALAS-2019-1156) e Amazon Linux (ALAS-2019-1156). AWS consiglia ai clienti che utilizzano Docker su Amazon Linux di avviare nuove istanze dall'ultima versione AMI. Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Dall’11 febbraio 2019 saranno disponibili le AMI ottimizzate per Amazon ECS, tra cui l'AMI Amazon Linux, l'AMI Amazon Linux 2 e l'AMI ottimizzata per la GPU. Questo bollettino verrà aggiornato non appena le API aggiornate saranno disponibili per l'utilizzo. Come best practice generale di sicurezza, consigliamo ai clienti ECS di aggiornare le configurazioni per avviare le nuove istanze di container dall'ultima versione dell'AMI. I clienti dovrebbero sostituire le istanze di container esistenti con la nuova versione dell'AMI per rispondere al problema sopra descritto. Per le istruzioni sulla sostituzione, consulta la documentazione ECS per l'AMI Amazon Linux, l'AMI Amazon Linux 2 e l'AMI ottimizzata per la GPU.
Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di AMI, sistema operativo o software alternativo/di terze parti per aggiornamenti e istruzioni, qualora necessari. Per le istruzioni su Amazon Linux, consulta la sezione Centro di sicurezza Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Una versione aggiornata dell’AMI ottimizzata per Amazon EKS sarà disponibile l’11 febbraio 2019. Questo bollettino verrà aggiornato non appena le API aggiornate saranno disponibili per l'utilizzo. Come best practice generale di sicurezza, consigliamo ai clienti EKS di aggiornare le configurazioni per avviare i nuovi nodi di lavoro dall'ultima versione dell'AMI. I clienti dovrebbero sostituire i nodi di lavoro esistenti con la nuova versione dell'AMI per rispondere al problema sopra descritto. Per le istruzioni su come aggiornare i nodi di lavoro, consulta la documentazione EKS.
I clienti Linux che non utilizzano l'AMI ottimizzata per EKS dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi. Per le istruzioni su Amazon Linux, consulta la sezione Centro di sicurezza Amazon Linux.
AWS Fargate
È disponibile una versione aggiornata di Fargate per la versione 1.3 della piattaforma che limita i problemi descritti in CVE-2019-5736. Entro il 15 marzo 2019 verranno rese disponibili le versioni con patch per le versioni precedenti della piattaforma (1.0.0, 1.1.0, 1.2.0).
I clienti che eseguono i servizi Fargate dovrebbero chiamare UpdateService con "--force-new-deployment", abilitato per avviare tutte le nuove attività sull'ultima versione 1.3 della piattaforma. I clienti che eseguono attività autonome dovrebbero terminare le attività esistenti e riavviarle attraverso l'ultima versione. Per le istruzioni specifiche, consulta la documentazione sull'aggiornamento di Fargate.
Tutte le attività che non sono state aggiornate ad una versione con patch saranno ritirate entro il 19 aprile 2019. I clienti che utilizzano attività autonome devono lanciare nuove attività per sostituire quelle ritirate. Per maggiori dettagli, consulta la documentazione sul ritiro delle attività di Fargate.
AWS IoT Greengrass
L'11 febbraio 2019 sarà disponibile una versione aggiornata di AWS IoT Greengrass Core. Questo bollettino verrà aggiornato una volta disponibile la versione aggiornata. Le versioni aggiornate richiedono caratteristiche disponibili nella versione 3.17 del kernel Linux o superiore. Per le istruzioni su come aggiornare il kernel, clicca qui.
Come best practice di sicurezza generale, consigliamo ai clienti che eseguono qualsiasi versione di Greengrass Core di effettuare l'aggiornamento alla versione 1.7.1. Per le istruzioni sull'aggiornamento over-the-air (OTA), clicca qui.
AWS Batch
L'11 febbraio 2019 sarà disponibile un'AMI ottimizzata per Amazon ECS aggiornata come API predefinita dell'ambiente di calcolo. Questo bollettino verrà aggiornato una volta disponibile l'AMI. Come best practice di sicurezza generale, consigliamo ai clienti di Batch di sostituire i loro ambienti di calcolo esistenti con l'ultima AMI disponibile. Se un cliente Batch deve effettuare l’aggiornamento immediatamente, durante la creazione di un ambiente di calcolo è preferibile sostituire l’AMI predefinita con l’AMI ottimizzata per ECS. Per le istruzioni sulla sostituzione dell'ambiente di calcolo, consulta la documentazione di prodotto Batch.
I clienti Batch che non utilizzano l'AMI predefinita dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi. Per le istruzioni sull'AMI personalizzata di Batch, consulta la documentazione di prodotto Batch.
AWS Elastic Beanstalk
Le piattaforme aggiornate di AWS Elastic Beanstalk basate su Linux saranno disponibili l’11 febbraio 2019. Questo bollettino verrà aggiornato una volta disponibili le nuove versioni della piattaforma. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all'ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di interventi. I clienti possono inoltre eseguire l'aggiornamento immediatamente attraverso la pagina di configurazione Managed Updates (Aggiornamenti gestiti), cliccando su "Apply now" (Applica ora). I clienti che non hanno abilitato gli aggiornamenti gestiti della piattaforma possono aggiornare la versione della piattaforma del loro ambiente seguendo le istruzioni riportate qui.
AWS Cloud9
È disponibile una versione aggiornata dell'ambiente AWS Cloud9 con Amazon Linux. Per impostazione predefinita, i clienti riceveranno le patch di sicurezza al primo avvio. I clienti con ambienti AWS Cloud9 basati su EC2 esistenti dovrebbero avviare nuove istanze dall'ultima versione di AWS Cloud9. Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.
I clienti di AWS Cloud9 che utilizzano ambienti SSH non creati con Amazon Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi.
AWS SageMaker
È disponibile una versione aggiornata di Amazon SageMaker. I clienti che utilizzano i container dell'algoritmo o i container del framework predefiniti di Amazon SageMaker per attività di formazione, ottimizzazione, trasformazione delle batch o endpoint non sono interessati. Allo stesso modo, i clienti che eseguono attività di etichettatura e compilazione non sono interessati. I clienti che non utilizzano i notebook Amazon SageMaker per eseguire i container Docker non sono interessati. Inoltre, tutti i notebook Amazon SageMaker lanciati l'11 febbraio, o successivamente, con istanze CPU includono gli ultimi aggiornamenti e non sono necessari interventi da parte del cliente. Tutte le attività di endpoint, etichettatura, formazione, ottimizzazione, compilazione e trasformazione delle batch lanciate l'11 febbraio, o successivamente, includono gli ultimi aggiornamenti e non sono necessari interventi da parte del cliente.
AWS consiglia ai clienti che eseguono attività di formazione, ottimizzazione e trasformazione delle batch con un codice personalizzato creato prima dell'11 febbraio di interrompere e riavviare le attività per includere l'ultimo aggiornamento. Queste operazioni possono essere effettuate dalla console di Amazon SageMaker o seguendo le istruzioni riportate qui.
Amazon SageMaker aggiorna automaticamente all'ultimo software tutti gli endpoint in servizio ogni quattro settimane. Tutti gli endpoint creati prima dell'11 febbraio dovrebbero essere aggiornati entro l'11 marzo. Nel caso in cui si presentino problemi con gli aggiornamenti automatici che richiedano l'intervento dei clienti per aggiornare gli endpoint, Amazon SageMaker pubblicherà una notifica nel Personal Health Dashboard dei clienti. I clienti che desiderano aggiornare gli endpoint prima possono farlo manualmente dalla console di Amazon SageMaker oppure attraverso l'operazione API UpdateEndpoint in qualsiasi momento. Consigliamo ai clienti che possiedono endpoint con dimensionamento automatico attivo di prendere ulteriori precauzioni seguendo le istruzioni riportate qui.
AWS consiglia ai clienti che eseguono i container Docker nei notebook Amazon SageMaker in esecuzione con istanze CPU di interrompere e riavviare le istanze notebook Amazon SageMaker per ricevere l'ultimo software disponibile. Ciò può essere effettuato dalla console di Amazon SageMaker. In alternativa, i clienti possono prima interrompere l'istanza notebook attraverso l'API StopNotebookInstance ed in seguito riavviare l'istanza notebook utilizzando l'API StartNotebookInstance.
Una versione aggiornata dei notebook di Amazon SageMaker con istanze GPU sarà resa disponibile per i clienti poco dopo il rilascio delle patch di Nvidia. Questo bollettino verrà aggiornato una volta disponibile una versione aggiornata. I clienti che eseguono i container Docker su notebook con istanze GPU possono intraprendere azioni preventive interrompendo temporaneamente le istanze notebook attraverso la console o utilizzando l'API StopNotebookInstance ed in seguito riavviando l'istanza notebook attraverso StartNotebookInstance una volta disponibile la versione aggiornata.
AWS RoboMaker
Una versione aggiornata dell'ambiente di sviluppo AWS RoboMaker sarà disponibile poco dopo il rilascio delle patch di Canonical e Docker. Questo bollettino verrà aggiornato una volta disponibile l'aggiornamento. Come best practice di sicurezza generale, AWS consiglia ai clienti che utilizzano gli ambienti di sviluppo RoboMaker di mantenere gli ambienti Cloud9 aggiornati all'ultima versione.
L'11 febbraio 2019 sarà disponibile una versione aggiornata di AWS IoT Greengrass Core. Questo bollettino verrà aggiornato una volta disponibile la versione aggiornata. Tutti i clienti che utilizzano la gestione della flotta di RoboMaker dovrebbero aggiornare Greengrass Core all'ultima versione una volta disponibile l'aggiornamento. Per ricevere l'aggiornamento, i clienti dovrebbero seguire queste istruzioni.
AMI di Deep Learning di AWS
AWS consiglia ai clienti che utilizzano Docker con l'AMI di Deep Learning o l'AMI Base di Deep Learning su Amazon Linux di avviare nuove istanze dell'ultima versione AMI ed eseguire il comando riportato di seguito per aggiornare il Docker:
sudo yum upgrade docker
Una versione aggiornata dell'AMI Base di Deep Learning e dell'AMI di Deep Learning sarà disponibile per il download dopo il rilascio di tutte le pertinenti patch di sicurezza. Questo bollettino verrà aggiornato una volta disponibili le AMI aggiornate.
Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.
Una volta rilasciati gli aggiornamenti Docker su Ubuntu per i problemi riportati in CVE-2019-5736 AWS consiglia ai clienti che utilizzano Docker con l'AMI di Deep Learning o l'AMI Base di Deep Learning su Ubuntu di avviare nuove istanze dell'ultima versione AMI e seguire queste istruzioni per aggiornare Docker (assicurati di seguire tutte le fasi di installazione):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
AWS consiglia inoltre ai clienti di controllare il bollettino di sicurezza da Nvidia per gli aggiornamenti a nvidia-docker2 e prodotti correlati.