Stai visualizzando una versione precedente del bollettino di sicurezza. Per la versione più aggiornata, consulta: "Problema di sicurezza con i container (CVE-2019-5736)".

11 febbraio 2019, 12:00 PST

Identificatore CVE: CVE-2019-5736

AWS è al corrente del problema di sicurezza emerso di recente che influisce su diversi sistemi di gestione dei container open source (CVE-2019-5736). Con l'eccezione dei servizi AWS riportati di seguito, non sono richiesti interventi da parte dei clienti per rispondere a questo problema.

Amazon Linux

È disponibile una versione aggiornata di Docker per i repository 2018.03 dell'AMI Amazon Linux 2 (ALAS-2019-1156) e Amazon Linux (ALAS-2019-1156). AWS consiglia ai clienti che utilizzano Docker su Amazon Linux di avviare nuove istanze dall'ultima versione AMI. Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.

Amazon Elastic Container Service (Amazon ECS)

Sono ora disponibili le AMI ottimizzate per Amazon ECS, tra cui l'AMI Amazon Linux, l'AMI Amazon Linux 2 e l'AMI ottimizzata per la GPU. Come best practice generale di sicurezza, consigliamo ai clienti ECS di aggiornare le configurazioni per avviare le nuove istanze di container dall'ultima versione dell'AMI. I clienti dovrebbero sostituire le istanze di container esistenti con la nuova versione dell'AMI per rispondere al problema sopra descritto. Per le istruzioni sulla sostituzione delle istanze di container esistenti, consulta la documentazione ECS per l'AMI Amazon Linux, l'AMI Amazon Linux 2 e l'AMI ottimizzata per la GPU.

Si consiglia ai clienti Linux che non utilizzano l'AMI ottimizzata per ECS di consultarsi con il proprio fornitore di sistema operativo, software o AMI per eventuali aggiornamenti e istruzioni. Per le istruzioni su Amazon Linux, consulta la sezione Centro di sicurezza Amazon Linux.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

È disponibile un'AMI ottimizzata per Amazon EKS aggiornata su AWS Marketplace. Come best practice generale di sicurezza, consigliamo ai clienti EKS di aggiornare le configurazioni per avviare i nuovi nodi di lavoro dall'ultima versione dell'AMI. I clienti dovrebbero sostituire i nodi di lavoro esistenti con la nuova versione dell'AMI per rispondere al problema sopra descritto. Per le istruzioni su come aggiornare i nodi di lavoro, consulta la documentazione EKS.

I clienti Linux che non utilizzano l'AMI ottimizzata per EKS dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi. Per le istruzioni su Amazon Linux, consulta la sezione Centro di sicurezza Amazon Linux.

AWS Fargate

È disponibile una versione aggiornata di Fargate per la versione 1.3 della piattaforma che limita i problemi descritti in CVE-2019-5736. Entro il 15 marzo 2019 verranno rese disponibili le versioni con patch per le versioni precedenti della piattaforma (1.0.0, 1.1.0, 1.2.0).

I clienti che eseguono i servizi Fargate dovrebbero chiamare UpdateService con "--force-new-deployment", abilitato per avviare tutte le nuove attività sull'ultima versione 1.3 della piattaforma. I clienti che eseguono attività autonome dovrebbero terminare le attività esistenti e riavviarle attraverso l'ultima versione. Per le istruzioni specifiche, consulta la documentazione sull'aggiornamento di Fargate.

Tutte le attività che non sono state aggiornate ad una versione con patch saranno ritirate entro il 19 aprile 2019. I clienti che utilizzano attività autonome devono lanciare nuove attività per sostituire quelle ritirate. Per maggiori dettagli, consulta la documentazione sul ritiro delle attività di Fargate.

AWS IoT Greengrass

Sono disponibili versioni aggiornate di AWS IoT Greengrass Core per 1.7.1 and 1.6.1. Le versioni aggiornate richiedono caratteristiche disponibili nella versione 3.17 del kernel Linux o superiore. Per le istruzioni su come aggiornare il kernel, clicca qui.

Come best practice di sicurezza generale, consigliamo ai clienti che eseguono qualsiasi versione di Greengrass Core di effettuare l'aggiornamento alla versione 1.7.1. Per le istruzioni sull'aggiornamento over-the-air (OTA), clicca qui.

AWS Batch

È disponibile un'AMI ottimizzata per Amazon ECS come AMI predefinita per l'ambiente di calcolo. Come best practice di sicurezza generale, consigliamo ai clienti di Batch di sostituire i loro ambienti di calcolo esistenti con l'ultima AMI disponibile. Per le istruzioni sulla sostituzione dell'ambiente di calcolo, consulta la documentazione di prodotto Batch.

I clienti Batch che non utilizzano l'AMI predefinita dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi. Per le istruzioni sull'AMI personalizzata di Batch, consulta la documentazione di prodotto Batch.

AWS Elastic Beanstalk

Sono disponibili versioni aggiornate della piattaforma di AWS Elastic Beanstalk basata su Docker. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all'ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di interventi. I clienti possono inoltre eseguire l'aggiornamento immediatamente attraverso la pagina di configurazione Managed Updates (Aggiornamenti gestiti), cliccando su "Apply now" (Applica ora). I clienti che non hanno abilitato gli aggiornamenti gestiti della piattaforma possono aggiornare la versione della piattaforma del loro ambiente seguendo le istruzioni riportate qui.

AWS Cloud9

È disponibile una versione aggiornata dell'ambiente AWS Cloud9 con Amazon Linux. Per impostazione predefinita, i clienti riceveranno le patch di sicurezza al primo avvio. I clienti con ambienti AWS Cloud9 basati su EC2 esistenti dovrebbero avviare nuove istanze dall'ultima versione di AWS Cloud9. Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.

I clienti di AWS Cloud9 che utilizzano ambienti SSH non creati con Amazon Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi.

AWS SageMaker

È disponibile una versione aggiornata di Amazon SageMaker. I clienti che utilizzano i container dell'algoritmo o i container del framework predefiniti di Amazon SageMaker per attività di formazione, ottimizzazione, trasformazione delle batch o endpoint non sono interessati. Allo stesso modo, i clienti che eseguono attività di etichettatura e compilazione non sono interessati. I clienti che non utilizzano i notebook Amazon SageMaker per eseguire i container Docker non sono interessati. Inoltre, tutti i notebook Amazon SageMaker lanciati l'11 febbraio, o successivamente, con istanze CPU includono gli ultimi aggiornamenti e non sono necessari interventi da parte del cliente. Tutte le attività di endpoint, etichettatura, formazione, ottimizzazione, compilazione e trasformazione delle batch lanciate l'11 febbraio, o successivamente, includono gli ultimi aggiornamenti e non sono necessari interventi da parte del cliente.

AWS consiglia ai clienti che eseguono attività di formazione, ottimizzazione e trasformazione delle batch con un codice personalizzato creato prima dell'11 febbraio di interrompere e riavviare le attività per includere l'ultimo aggiornamento. Queste operazioni possono essere effettuate dalla console di Amazon SageMaker o seguendo le istruzioni riportate qui.

Amazon SageMaker aggiorna automaticamente all'ultimo software tutti gli endpoint in servizio ogni quattro settimane. Tutti gli endpoint creati prima dell'11 febbraio dovrebbero essere aggiornati entro l'11 marzo. Nel caso in cui si presentino problemi con gli aggiornamenti automatici che richiedano l'intervento dei clienti per aggiornare gli endpoint, Amazon SageMaker pubblicherà una notifica nel Personal Health Dashboard dei clienti. I clienti che desiderano aggiornare gli endpoint prima possono farlo manualmente dalla console di Amazon SageMaker oppure attraverso l'operazione API UpdateEndpoint in qualsiasi momento. Consigliamo ai clienti che possiedono endpoint con dimensionamento automatico attivo di prendere ulteriori precauzioni seguendo le istruzioni riportate qui.

AWS consiglia ai clienti che eseguono i container Docker nei notebook Amazon SageMaker in esecuzione con istanze CPU di interrompere e riavviare le istanze notebook Amazon SageMaker per ricevere l'ultimo software disponibile. Ciò può essere effettuato dalla console di Amazon SageMaker. In alternativa, i clienti possono prima interrompere l'istanza notebook attraverso l'API StopNotebookInstance ed in seguito riavviare l'istanza notebook utilizzando l'API StartNotebookInstance.

Una versione aggiornata dei notebook di Amazon SageMaker con istanze GPU sarà resa disponibile per i clienti poco dopo il rilascio delle patch di Nvidia. Questo bollettino verrà aggiornato una volta disponibile una versione aggiornata. I clienti che eseguono i container Docker su notebook con istanze GPU possono intraprendere azioni preventive interrompendo temporaneamente le istanze notebook attraverso la console o utilizzando l'API StopNotebookInstance ed in seguito riavviando l'istanza notebook attraverso StartNotebookInstance una volta disponibile la versione aggiornata.

AWS RoboMaker

Una versione aggiornata dell'ambiente di sviluppo AWS RoboMaker sarà disponibile poco dopo il rilascio delle patch di Canonical e Docker. Questo bollettino verrà aggiornato una volta disponibile l'aggiornamento. Come best practice di sicurezza generale, AWS consiglia ai clienti che utilizzano gli ambienti di sviluppo RoboMaker di mantenere gli ambienti Cloud9 aggiornati all'ultima versione.

L'11 febbraio 2019 sarà disponibile una versione aggiornata di AWS IoT Greengrass Core. Questo bollettino verrà aggiornato una volta disponibile la versione aggiornata. Tutti i clienti che utilizzano la gestione della flotta di RoboMaker dovrebbero aggiornare Greengrass Core all'ultima versione una volta disponibile l'aggiornamento. Per ricevere l'aggiornamento, i clienti dovrebbero seguire queste istruzioni.

AMI di Deep Learning di AWS

Le versioni aggiornate dell'AMI Base di Deep Learning e dell'AMI di Deep Learning per Amazon Linux sono disponibili su AWS Marketplace. AWS consiglia ai clienti che utilizzano Docker con l'AMI di Deep Learning o l'AMI Base di Deep Learning di avviare nuove istanze dell'ultima versione AMI (v21.1 per l'AMI di Deep Learning e v16.1 per l'AMI Base di Deep Learning su Amazon Linux). Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.

AWS consiglia ai clienti che utilizzano Docker con l'AMI di Deep Learning o l'AMI Base di Deep Learning su Ubuntu di avviare nuove istanze dell'ultima versione AMI e seguire queste istruzioni per aggiornare Docker (assicurati di seguire tutte le fasi di installazione).

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

Una versione aggiornata dell'AMI Base di Deep Learning e dell'AMI di Deep Learning per Ubuntu sarà disponibile per il download dopo il rilascio di tutte le pertinenti patch di sicurezza. Questo bollettino verrà aggiornato una volta disponibili le AMI aggiornate.

AWS consiglia inoltre ai clienti di controllare il bollettino di sicurezza da Nvidia per gli aggiornamenti a nvidia-docker2 e prodotti correlati.