Si tratta di un aggiornamento per questo problema.
I file binari di AWS IoT Greengrass Core V1 (1.10.4 e 1.11.3) con runC con patch sono ora disponibili per il download(https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html). Una versione di Greengrass V2 Lambda Launcher v2.0.6 (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html) è disponibile anche nella console AWS IoT. Consigliamo ai clienti Greengrass di eseguire l'aggiornamento agli ultimi file binari e a Lambda Launcher per incorporare l'ultima patch runC.
Stai visualizzando una versione precedente del bollettino di sicurezza.
AWS è a conoscenza del problema di sicurezza rilevato di recente in runC, un componente di molti sistemi di gestione di container (CVE-2021-30465). Con l'eccezione dei servizi AWS riportati di seguito, non sono richiesti interventi da parte dei clienti per rispondere a questo problema.
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS ha rilasciato Amazon Machine Image (AMI) ottimizzato per ECS aggiornato con il runtime del contenitore con patch il 21 maggio 2021. Per ulteriori informazioni sulle AMI ottimizzate per ECS, consulta https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
Per risolvere questo problema nel frattempo, consigliamo ai clienti ECS di eseguire un aggiornamento yum --security per ottenere questa patch. Sono disponibili ulteriori informazioni sul sitohttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html.
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS ha rilasciato Amazon Machine Image (AMI) ottimizzato per EKS aggiornato con il runtime del contenitore con patch. Per ulteriori informazioni sull'AMI ottimizzata per EKS, consulta https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Consigliamo ai clienti EKS di sostituire tutti i nodi di lavoro per utilizzare l'ultima versione dell'AMI ottimizzata per EKS. Per le istruzioni sull'aggiornamento dei nodi di lavoro, consulta https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Bottlerocket
Amazon ha rilasciato AMI Bottlerocket e aggiornamenti sul posto. L'aggiornamento all'ultimo aggiornamento sul posto o la sostituzione delle istanze con le AMI più recenti risolverà questo problema.
Se stai utilizzando l'operatore di aggiornamento Bottlerocket per Kubernetes, dovresti aspettarti che i nodi inizino ad aggiornarsi entro un giorno e tutti i nodi entro una settimana. I clienti possono aggiornare manualmente in modo più rapido tramite due chiamate API: apiclient set updates.ignore-waves=true and apiclient update apply --check --reboot. Una volta completati gli aggiornamenti, ripristinare l'impostazione predefinita conapiclient set updates.ignore-waves=false.
Amazon Linux and Amazon Linux 2
Una versione aggiornata di runc è disponibile per i repository extra Amazon Linux 2 (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) e i repository Amazon Linux AMI 2018.03 (*runc-1.0.0-0.2.20210225.git12644e6.3.amzn1*). AWS consiglia ai clienti che utilizzano i container in Amazon Linux di aggiornare all'ultima versione di runc e riavviare tutti i container in esecuzione.
AWS Cloud9
È disponibile una versione aggiornata dell'ambiente AWS Cloud9 con Amazon Linux. Per impostazione predefinita, i clienti riceveranno le patch di sicurezza al primo avvio. I clienti con ambienti AWS Cloud9 basati su EC2 esistenti dovrebbero avviare nuove istanze dall'ultima versione di AWS Cloud9. Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux (https://alas.aws.amazon.com/).
I clienti di AWS Cloud9 che utilizzano ambienti SSH non creati con Amazon Linux dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi.
AWS IoT Greengrass
I file binari aggiornati di AWS IoT Greengrass Core V1 e Greengrass V2 Lambda Launcher saranno disponibili entro il 15 giugno come ultime versioni di Greengrass. Aggiorneremo questo bollettino una volta che le patch saranno disponibili.
Greengrass utilizza la libreria runC per eseguire funzioni Lambda all'interno di un contenitore conforme a OCI sui dispositivi Greengrass Core. Le funzioni Lambda implementate sui dispositivi Greengrass Core sono fornite a Greengrass tramite API cloud autorizzate autenticate, interfacce a riga di comando (CLI) locali autorizzate autenticate (se abilitate) o tramite accesso root locale. Ciò significa che Greengrass implementerà ed eseguirà solo funzioni Lambda pianificate, e nessuna operazione sarà necessaria finché le funzioni Lambda verranno implementate da origini attendibili. Come best practice, i clienti dovrebbero distribuire Lambda solo da fonti attendibili.
AMI di AWS Deep Learning
Le versioni aggiornate dell'AMI Deep Learning Base e dell'AMI Deep Learning per Amazon Linux e Amazon Linux2 sono disponibili nella console AWS EC2 e AWS Marketplace. AWS consiglia ai clienti che hanno utilizzato Docker con Deep Learning Base AMI o Deep Learning AMI di avviare nuove istanze dell'ultima versione AMI (v35.0 o successiva per Deep Learning Base AMI su Amazon Linux, v38.0 o successive per Deep Learning Base AMI su Amazon Linux2, v45.0 o successive per Deep Learning Base AMI su Amazon Linux e Amazon Linux2). Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.
AWS Batch
Dopo l’aggiornamento AMI:
È disponibile un'AMI ottimizzata per Amazon ECS come AMI predefinita per l'ambiente di calcolo. Consigliamo ai clienti di Batch di sostituire i loro ambienti di calcolo esistenti con l'ultima AMI disponibile. Le istruzioni per la sostituzione dell'ambiente di calcolo sono disponibili nella documentazione del prodotto Batch
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments).
I clienti Batch che non utilizzano l'AMI predefinita dovrebbero contattare il proprio fornitore di sistema operativo per gli aggiornamenti necessari per rispondere a questi problemi. Le istruzioni per l'AMI personalizzata Batch sono disponibili nella documentazione del prodotto Batch(https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html).
AWS Elastic Beanstalk
Sono disponibili versioni aggiornate della piattaforma di AWS Elastic Beanstalk basata su Docker. Consigliamo ai clienti di aggiornare immediatamente accedendo alla pagina di configurazione degli aggiornamenti gestiti e facendo clic sul pulsante "Applica ora". I clienti che non hanno abilitato gli aggiornamenti gestiti della piattaforma possono aggiornare la versione della piattaforma del loro ambiente seguendo le istruzioni riportatequi. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all'ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di interventi. Sono disponibili anche note di rilascio.