Data di pubblicazione: 31/01/2024 22:30 CET
Identificatore CVE: CVE-2024-21626
AWS è in grado di riconoscere un problema di sicurezza emerso di recente che riguarda il componente runc di numerosi sistemi di gestione dei container open source (CVE-2024-21626). Con l'eccezione dei servizi AWS riportati di seguito, non sono richiesti interventi da parte dei clienti per rispondere a questo problema.
Amazon Linux
Una versione aggiornata di runc è disponibile per Amazon Linux 1 (runc-1.1.11-1.0.amzn1), Amazon Linux 2 (runc-1.1.11-1.amzn2) e per Amazon Linux 2023 (runc-1.1.11-1.amzn2023). AWS consiglia ai clienti che utilizzano runc o altri software relativi ai container di applicare tali aggiornamenti o una versione più recente. Per ulteriori informazioni, consulta la sezione Centro di sicurezza Amazon Linux.
sistema operativo Bottlerocket
Una versione aggiornata di runc sarà inclusa in Bottlerocket 1.19.0, che verrà rilasciato entro il 2 febbraio 2024. AWS consiglia ai clienti che utilizzano Bottlerocket di applicare il presente aggiornamento o una versione più recente. Ulteriori informazioni saranno pubblicate negli Avvisi di sicurezza di Bottlerocket e nelle Note di rilascio di Bottlerocket.
Amazon Elastic Container Service (ECS)
A questo CVE è stata applicata la patch in runc e una versione aggiornata di runc, la versione 1.1.11-1, ed è disponibile come parte delle ultime Amazon Machine Images (AMI) ottimizzate per Amazon ECS rilasciate il 31 gennaio 2024.
Consigliamo ai clienti ECS di eseguire l'aggiornamento alle presenti AMI (o all'ultima disponibile) o di effettuare un "yum update per motivi di sicurezza" al fine di ottenere questa patch. Per ulteriori informazioni, consulta la guida per l'utente "Amazon ECS-optimized AMI".
Amazon Elastic Kubernetes Services (EKS)
Amazon EKS ha rilasciato la versione aggiornata v20240129 di Amazon Machine Images (AMI) ottimizzata per EKS con il runtime del container con patch. I clienti che utilizzano i gruppi di nodi gestiti possono aggiornarli facendo riferimento alla documentazione EKS. I clienti che utilizzano Karpenter possono aggiornare i propri nodi attenendosi alla documentazione sulla deriva o sulla selezione dell'AMI. I clienti che utilizzano nodi worker autogestiti possono sostituire i nodi esistenti facendo riferimento alla documentazione EKS.
Amazon EKS Fargate avrà una versione aggiornata disponibile per i nuovi pod sui cluster entro il 1° febbraio 2024 e mostrerà una versione Kubelet che termina con eks-680e576. I clienti possono verificare la versione dei propri nodi eseguendo kubectl get nodes. I clienti devono eliminare i pod esistenti per ricevere la patch dopo il 2 febbraio 2024. Consulta la documentazione "Nozioni di base su AWS Fargate utilizzando Amazon EKS" per informazioni sull'eliminazione e sulla creazione di pod Fargate.
Amazon EKS Anywhere ha rilasciato la versione v0.18.6 aggiornata delle immagini con patch per il runtime dei container. I clienti possono consultare la documentazione "Upgrade cluster" di EKS Anywhere su come aggiornare i cluster per utilizzare immagini VM con patch.
AWS Elastic Beanstalk
Sono disponibili versioni aggiornate della piattaforma di AWS Elastic Beanstalk basata su Docker ed ECS. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all'ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di interventi. I clienti possono, inoltre, eseguire l'aggiornamento immediatamente attraverso la pagina di configurazione Managed Updates (Aggiornamenti gestiti), cliccando sul pulsante "Apply now" (Applica ora). I clienti che non hanno abilitato gli aggiornamenti della piattaforma gestita possono aggiornare la versione della piattaforma del proprio ambiente attenendosi alla guida utente "Aggiornamento della versione della piattaforma dell'ambiente Elastic Beanstalk".
Finch
Una versione aggiornata di runc è disponibile per Finch nell'ultima versione v1.1.0. I clienti devono aggiornare l'installazione di Finch su macOS per rispondere a questo problema. È possibile scaricare le versioni di Finch tramite la pagina di rilascio GitHub del progetto o eseguendo "brew update" (aggiorna brew), se è stato installato Finch tramite Homebrew.
AWS Deep Learning AMI
Il pacchetto runc interessato fa parte della nostra Amazon Linux 2 Deep Learning AMI. Questo pacchetto runc è tratto dalle versioni upstream di Amazon Linux 2. Il Deep Learning AMI consumerà automaticamente l'ultimo pacchetto con patch non appena sarà disponibile dal team Amazon Linux. Una volta rilasciato, i clienti interessati dovranno utilizzare l'ultimo Deep Learning AMI per usufruire degli ultimi aggiornamenti runc e attenuare l'impatto del problema.
Batch AWS
È disponibile un'AMI ottimizzata per Amazon ECS come AMI predefinita per l'ambiente di calcolo. Come best practice generale per la sicurezza, consigliamo ai clienti Batch di sostituire i loro ambienti di calcolo esistenti con l'AMI più recente. Le istruzioni per la sostituzione dell'ambiente di calcolo sono disponibili nella documentazione del prodotto Batch.
I clienti Batch che non utilizzano l'AMI predefinita dovrebbero contattare il proprio fornitore di sistema operativo per ottenere gli aggiornamenti necessari alla risoluzione a questi problemi. Per le istruzioni sull'AMI personalizzata di Batch, consulta la documentazione sul prodotto Batch.
Amazon SageMaker
Tutte le risorse SageMaker, tra cui le istanze notebook SageMaker, i processi di addestramento SageMaker, i processi di elaborazione SageMaker, i processi di trasformazione batch di SageMaker, SageMaker Studio e SageMaker Inference, create o riavviate dopo il 2 febbraio 2024, utilizzeranno automaticamente la patch. Per SageMaker Inference, tutti gli endpoint attivi che non sono stati ricreati verranno automaticamente aggiornati con patch entro il 7 febbraio 2024.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.