ID Bollettino: AWS-2025-024
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 5/11/2025 8:45 PDT

Indicatori CVE: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

AWS è in grado di riconoscere un problema di sicurezza emerso di recente che riguarda il componente runc di numerosi sistemi di gestione dei container open source (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) al momento dell’avvio di nuovi container. AWS non considera i container un limite di protezione, e non li utilizza per isolare i clienti gli uni dagli altri. Questi problemi non comportano rischi incrociati per i clienti. I clienti AWS che si servono di container per isolare i carichi di lavoro all’interno dei propri ambienti autogestiti sono fortemente incoraggiati a contattare il fornitore del sistema operativo per eventuali aggiornamenti o istruzioni necessari a mitigare eventuali preoccupazioni derivanti da questi problemi.

Con l’eccezione dei servizi AWS riportati di seguito, non sono richiesti interventi da parte dei clienti per rispondere a questo problema. Come best practice, AWS consiglia sempre di applicare tutte le patch di sicurezza e di tenere il software aggiornato.

Amazon Linux

Una versione aggiornata di runc è disponibile per Amazon Linux 2 (runc-1.3.2-2.amzn2) e per Amazon Linux 2023 (runc-1.3.2-2.amzn2023.0.1). AWS consiglia ai clienti che utilizzano Amazon Linux 2 o Amazon Linux 2023 di aggiornare runc almeno alla versione 1.3.2-2. Per ulteriori informazioni, consultare la sezione Centro di sicurezza Amazon Linux.

Bottlerocket

Bottlerocket 1.50.0 include una versione aggiornata di runc, il cui rilascio è previsto per il 5 novembre 2025. AWS consiglia ai clienti che utilizzano Bottlerocket di applicare il presente aggiornamento. Ulteriori informazioni saranno pubblicate nelle Note di rilascio di Bottlerocket.

Amazon Elastic Container Service (ECS)

Amazon ECS rilascerà una versione aggiornata delle Amazon Machine Image (AMI) ottimizzata per Amazon ECS il 5 novembre 2025 (versione 20251031). Questa versione aggiornata include una nuova versione di runc (versione 1.3.2-2). Consigliamo ai clienti che utilizzano ECS sulle istanze EC2 di effettuare l’aggiornamento a queste AMI più recenti o di eseguire un “yum update -security” per ottenere le patch di sicurezza. Per ulteriori informazioni, consultare la Guida per l’utente relativa alle AMI ottimizzate per Amazon ECS.

Amazon ECS Fargate includerà automaticamente una versione aggiornata di runc in tutte le attività di Fargate avviate dopo il 5 novembre 2025. I clienti non devono intraprendere alcuna azione.

Le istanze gestite di Amazon ECS rilasceranno nuove AMI il 5 novembre 2025, con una versione aggiornata di runc. ECS impedirà il collocamento di nuove attività su istanze di container esistenti. Tutte le nuove attività verranno invece inserite in nuove istanze di container che utilizzeranno le nuove AMI con la versione aggiornata di runc. I clienti non devono intraprendere alcuna azione.

Amazon Elastic Kubernetes Service (EKS)

Amazon EKS rilascerà le AMI della Modalità Automatica EKS aggiornate con un runtime di container con patch il 5 novembre 2025. I pool di nodi della Modalità Automatica con impostazioni della deriva predefinite inizieranno automaticamente l’aggiornamento alla versione con patch delle AMI. I nodi con i controlli di interruzione abilitati si aggiorneranno alla versione con patch entro 21 giorni dal lancio iniziale. Per aggiornare subito i nodi, è possibile eliminarli per forzare una sostituzione immediata. I clienti possono verificare che i nodi eseguano un’AMI con patch eseguendo kubectl get node -o wide e controllando il campo “OS Image” (Immagine SO). I nodi a cui sono state applicate patch presenteranno la data 2025.11.01 o successiva [ad esempio Bottlerocket (EKS Auto, Standard) 2025.11.01 (aws-k8s-1.34-standard)].

Amazon EKS rilascerà la versione aggiornata di Amazon Machine Image (AMI) AL2/AL2023 ottimizzata per EKS v20251103 con il runtime del container a cui sono state applicate patch il 5 novembre 2025. L’AMI Bottlerocket EKS 1.50.0 contiene anche il runtime del container con patch. I clienti che utilizzano i gruppi di nodi gestiti possono aggiornarli facendo riferimento alla Documentazione EKS. I clienti che utilizzano Karpenter possono aggiornare i propri nodi attenendosi alla documentazione sulla deriva o sulla selezione dell’AMI. I clienti che utilizzano nodi worker autogestiti possono sostituire i nodi esistenti facendo riferimento alla Documentazione EKS.

Amazon EKS Fargate renderà disponibile un aggiornamento per i nuovi pod su cluster nuovi o esistenti il 5 novembre 2025. I clienti devono eliminare i pod Amazon EKS Fargate esistenti per utilizzare il runtime con patch. I clienti possono verificare che ai propri nodi siano state installate patch con la versione di Kubelet che termina con eks-3cfe0ce eseguendo kubectl get nodes. Consultare la documentazione Nozioni di base su AWS Fargate utilizzando Amazon EKS per informazioni sull’eliminazione e sulla creazione di pod Fargate.

Amazon EKS Anywhere rilascerà le versioni aggiornate 0.24.0 e 0.23.5 con runc con patch (versione 1.3.2-2) il 6 novembre 2025. I clienti possono consultare la documentazione “Upgrade cluster” (Aggiorna cluster) di EKS Anywhere su come aggiornare i cluster per utilizzare le immagini delle macchine virtuali con patch.

AWS Elastic Beanstalk

Le versioni aggiornate della piattaforma di AWS Elastic Beanstalk basata su Docker ed ECS saranno disponibili dal 5 novembre 2025. I clienti che utilizzano gli aggiornamenti gestiti della piattaforma riceveranno un aggiornamento automatico all’ultima versione della piattaforma nella finestra di manutenzione selezionata, senza bisogno di interventi. I clienti possono, inoltre, eseguire l’aggiornamento immediatamente attraverso la pagina di configurazione aggiornamenti gestiti, cliccando su “Applica ora”. I clienti che non hanno abilitato gli aggiornamenti gestiti della piattaforma possono aggiornare la versione della piattaforma del loro ambiente seguendo le istruzioni nella documentazione.

Finch

L’ultima versione aggiornata di runc, la 1.13.0, sarà disponibile per Finch per piattaforme macOS e Windows il 5 novembre 2025. I clienti devono aggiornare l’installazione di Finch su macOS e Windows per rispondere a questo problema. È possibile scaricare le versioni di Finch tramite la pagina di rilascio GitHub del progetto o eseguendo “brew update” (aggiorna brew), se è stato installato Finch tramite Homebrew. Dopo l’aggiornamento, la macchina virtuale deve essere reinizializzata mediante rimozione e nuova inizializzazione (init).

AMI di AWS Deep Learning

Le AMI di Deep Learning aggiornate di Amazon Linux 2 e Amazon Linux 2023 saranno disponibili il 5 novembre 2025. I clienti devono eseguire l’aggiornamento alla versione più recente dell’AMI, quando disponibile.

Batch AWS

Come best practice di sicurezza generale, consigliamo ai clienti di Batch di sostituire i loro ambienti di calcolo esistenti con l’ultima AMI disponibile. Le istruzioni per la sostituzione dell’ambiente di calcolo sono disponibili nella documentazione del prodotto Batch. Il 12 novembre 2025 sarà disponibile un’AMI ottimizzata per Amazon ECS ed EKS aggiornata come API predefinita dell’ambiente di calcolo.

I clienti Batch che non utilizzano l’AMI predefinita dovrebbero contattare il proprio fornitore di sistema operativo per ottenere gli aggiornamenti necessari alla risoluzione di questi problemi. Per le istruzioni sull’AMI personalizzata di Batch, consultare la documentazione sul prodotto Batch.

Amazon SageMaker

Tutte le risorse SageMaker create o riavviate dopo il 7 novembre 2025 includeranno automaticamente la versione con patch di runc. Sono inclusi SageMaker Notebook Instances, SageMaker Training Jobs, SageMaker Processing Jobs, SageMaker Batch Transform Jobs, SageMaker Studio e SageMaker Inference. AWS inizierà ad applicare le patch alle risorse SageMaker esistenti create prima del 7 novembre 2025 quando l’AMI di AWS Deep Learning e le AMI di Amazon Linux diventeranno disponibili.

Per eventuali domande o dubbi sulla sicurezza, inviare un’e-mail all’indirizzo aws-security@amazon.com.