Identificatore CVE: CVE-2020-8558
Si tratta di un aggiornamento per questo problema.
AWS è a conoscenza di un problema di sicurezza, recentemente rivelato dalla comunità Kubernetes, che riguarda il networking nei container Linux (CVE-2020-8558). Questo problema comporta che i container in esecuzione sullo stesso host o su host adiacenti (host in esecuzione nello stesso dominio LAN o layer 2) possano raggiungere i servizi TCP e UDP associati a localhost (127.0.0.1).
Tutti i controlli di sicurezza di AWS, volti a mantenere l'isolamento tra i clienti di Amazon ECS e Amazon EKS, continuano a funzionare correttamente. Questo problema non presenta alcun rischio di accesso ai dati su più account. I processi all'interno di un container su un host potrebbero ottenere l'accesso di rete, in modo non intenzionale, ad altri container sullo stesso host o su altri host all'interno della stessa VPC e sottorete. Per contenere nell’immediato questo problema è richiesta un’azione da parte del cliente all’indirizzo https://github.com/aws/containers-roadmap/issues/976. Tutti i clienti Amazon ECS e Amazon EKS dovrebbero effettuare l’aggiornamento all'ultima AMI.
AWS Fargate
Il problema non interessa AWS Fargate. Pertanto non è necessaria alcuna azione da parte del cliente.
Amazon Elastic Container Service (Amazon ECS)
Sono ora disponibili AMI ottimizzate per Amazon ECS aggiornate. Come best practice generale di sicurezza, consigliamo ai clienti ECS di aggiornare le configurazioni per avviare le nuove istanze di container dall'ultima versione dell'AMI.
I clienti possono aggiornare le loro AMI facendo riferimento alla documentazione ECS.
Amazon Elastic Kubernetes Service (Amazon EKS)
Sono ora disponibili AMI ottimizzate per Amazon EKS aggiornate. Come best practice generale di sicurezza, consigliamo ai clienti EKS di aggiornare le configurazioni per avviare i nuovi nodi di lavoro dall'ultima versione dell'AMI.
I clienti che utilizzano i gruppi di nodi gestiti possono aggiornare i propri gruppi di nodi facendo riferimento alla documentazione EKS. I nodi di lavoro autogestiti dei clienti devono sostituire le istanze esistenti con la nuova versione dell’AMI facendo riferimento alla documentazione EKS.
Identificatore CVE: CVE-2020-8558
Stai visualizzando una versione precedente del bollettino di sicurezza.
AWS è a conoscenza di un problema di sicurezza, recentemente rivelato dalla comunità Kubernetes, che riguarda il networking nei container Linux (CVE-2020-8558). Questo problema comporta che i container in esecuzione sullo stesso host o su host adiacenti (host in esecuzione nello stesso dominio LAN o layer 2) possano raggiungere i servizi TCP e UDP associati a localhost (127.0.0.1).
Il problema non interessa AWS Fargate. Pertanto non è necessaria alcuna azione da parte del cliente.
Tutti i controlli di sicurezza di AWS, volti a mantenere l'isolamento tra i clienti di Amazon ECS e Amazon EKS, continuano a funzionare correttamente. Questo problema non presenta alcun rischio di accesso ai dati su più account. I processi all'interno di un container su un host potrebbero ottenere l'accesso di rete, in modo non intenzionale, ad altri container sullo stesso host o su altri host all'interno della stessa VPC e sottorete. Per contenere nell’immediato questo problema è richiesta un’azione da parte del cliente all’indirizzo https://github.com/aws/containers-roadmap/issues/976
Pubblicheremo aggiornamenti di Amazon Machine Image sia per Amazon ECS che per Amazon EKS, e i clienti dovrebbero effettuare l’aggiornamento a queste AMI non appena saranno disponibili.
"AWS Fargate"
Il problema non interessa AWS Fargate. Pertanto non è necessaria alcuna azione da parte del cliente.
Amazon Elastic Container Service (Amazon ECS)
Il 9 luglio 2020 Amazon ECS rilascerà AMI ottimizzate per ECS aggiornate, tra cui AMI Amazon Linux, AMI Amazon Linux 2, AMI ottimizzate per GPU, AMI ottimizzate per ARM e AMI ottimizzate per l’inferenza. Il problema sarà circoscritto tramite l’aggiornamento e l’utilizzo di una di queste AMI. Questo bollettino verrà aggiornato non appena le API aggiornate saranno disponibili per l'utilizzo.
Amazon Elastic Kubernetes Service (Amazon EKS)
Il 9 luglio 2020 Amazon EKS rilascerà AMI ottimizzate per EKS aggiornate, tra cui l'AMI ottimizzata EKS Amazon Linux 2 e l'AMI accelerata ottimizzata EKS per Kubernetes 1.14, 1.15 e 1.16. Il problema sarà circoscritto tramite l’aggiornamento e l’utilizzo di una di queste AMI. Questo bollettino verrà aggiornato non appena le API aggiornate saranno disponibili per l'utilizzo.