2019 年 2 月 13 日午後 9:00 (太平洋標準時)
CVE 識別番号: CVE-2019-5736
AWS では、最近明らかになった一部のオープンソースコンテナ管理システムに影響をおよぼすセキュリティ問題を認識しています (CVE-2019-5736)。例外となる以下の AWS のサービスを除いて、この問題への対処に関するお客様のアクションは不要です。
Amazon Linux
Docker の更新済みバージョン (docker-18.06.1ce-7.amzn2) は、Amazon Linux 2 extras リポジトリおよび Amazon Linux AMI 2018.03 リポジトリでご利用になれます (ALAS-2019-1156)。AWS では、Amazon Linux で Docker をお使いの場合、AMI の最新バージョンから新規インスタンスを起動することを推奨します。詳細は、Amazon Linux セキュリティセンターでご覧になれます。
Amazon Elastic Container Service (Amazon ECS)
Amazon Linux AMI、Amazon Linux 2 AMI、GPU 最適化 AMI などの Amazon ECS 最適化 AMI は、現在ご利用いただけます。セキュリティ関連の一般的なベストプラクティスとして、ECS のお客様には、AMI の最新バージョンから新規のコンテナインスタンスを起動するよう設定を更新することを推奨いたします。お客様は、既存のコンテナインスタンスを AMI の最新バージョンに置き換えて、上記の問題に対処する必要があります。Amazon Linux AMI、Amazon Linux 2 AMI、GPU 最適化 AMI に関する、既存のコンテナインスタンスの置き換えにおける作業要領については、ECS ドキュメントをご覧ください。
ECS 最適化 AMI をお使いではない Linux のお客様は、必要に応じ、更新や作業要領についてご利用中のオペレーティングシステム、ソフトウェア、または AMI のベンダーにご相談ください。Amazon Linux に関する作業要領は、Amazon Linux セキュリティセンターでご覧になれます。
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
更新済み Amazon EKS 最適化 AMI は AWS Marketplace で入手可能です。セキュリティ関連の一般的なベストプラクティスとして、EKS のお客様には、AMI の最新バージョンから新規のワーカーノードを起動するよう設定を更新することを推奨いたします。お客様は、既存のワーカーノードを AMI の最新バージョンに置き換えて、上記の問題に対処する必要があります。ワーカーノードの更新の作業要領については、EKS ドキュメントをご覧ください。
EKS 最適化 AMI をお使いではない Linux のお客様は、この問題の対処に必要な更新について、オペレーティングシステムのベンダーにお問い合わせください。Amazon Linux に関する作業要領は、Amazon Linux セキュリティセンターでご覧になれます。
AWS Fargate
プラットフォームバージョン 1.3 で利用可能な Fargate の更新済みバージョンでは、CVE-2019-5736 に記述された問題のリスクが低減されます。これよりも古いプラットフォームバージョン (1.0.0、1.1.0、1.2.0) のパッチ適用済みバージョンは、2019 年 3 月 15 日までに利用可能になります。
Fargate サービスを実行中のお客様は、「--force-new-deployment」を有効にして UpdateService を呼び出し、最新のプラットフォームバージョン 1.3 ですべての新規タスクを起動する必要があります。スタンドアロンタスクを実行中のお客様は、既存のタスクを終了させて、最新バージョンを使用して起動し直す必要があります。具体的な作業要領は、Fargate 更新ドキュメントでご覧になれます。
パッチ適用済みバージョンにアップグレードされていないタスクはすべて、2019 年 4 月 19 日をもってリタイアします。スタンドアロンタスクを使用中のお客様は、リタイアしたタスクの代わりとなる新規タスクを起動する必要があります。更なる詳細については、Fargate タスクのリタイアに関するドキュメントをご覧ください。
AWS IoT Greengrass
AWS IoT GreenGrass Core の更新済みバージョンは 1.7.1 および 1.6.1 に対応しています。更新済みバージョンには、Linux カーネルバージョン 3.17 またはそれ以降の機能が必要です。カーネルの更新の作業要領は、こちらでご覧になれます。
セキュリティ関連の一般的なベストプラクティスとして、GreenGrass Core を実行中のお客様には、ご使用中のバージョンを問わず、バージョン 1.7.1 へのアップグレードを推奨いたします。無線通信経由 (OTA) 更新の作業要領は、こちらでご覧になれます。
AWS Batch
更新済みの Amazon ECS 最適化 AMI はデフォルトのコンピューティング環境 AMI としてご利用になれます。 セキュリティ関連の一般的なベストプラクティスとして、Batch をお使いのお客様には、既存のコンピューティング環境を、ご利用可能な最新 AMI に置き換えることを推奨いたします。コンピューティング環境の置き換えの作業要領については、Batch 製品ドキュメントをご覧ください。
デフォルトの AMI をお使いではない Batch のお客様は、この問題の対処に必要な更新に関して、オペレーティングシステムのベンダーにお問い合わせください。Batch カスタム AMI の作業要領については、Batch 製品ドキュメントをご覧ください。
AWS Elastic Beanstalk
更新済みの AWS Elastic Beanstalk の Docker ベースプラットフォームバージョンがご利用になれます。マネージドプラットフォーム更新を使用中の場合、選択したメンテナンスウィンドウで自動的に最新プラットフォームバージョンに更新されるため、お客様によるアクションは必要ありません。マネージド更新の設定ページにアクセスし [Apply Now] ボタンをクリックすることで即時に更新することもできます。マネージドプラットフォーム更新を有効にしていないお客様は、こちらの作業要領に従ってお使いの環境のプラットフォームバージョンを更新することができます。
AWS Cloud9
Amazon Linux による AWS Cloud9 環境の更新済みバージョンがご利用になれます。デフォルトでは、初回起動時にセキュリティパッチが適用されます。既存の EC2 ベースの AWS Cloud9 環境をお持ちのお客様は、AWS Cloud9 の最新バージョンから新規インスタンスを起動する必要があります。詳細は、Amazon Linux セキュリティセンターでご覧になれます。
Amazon Linux でビルドされていない SSH 環境をお使いの AWS Cloud9 のお客様は、この問題の対処に必要な更新について、オペレーティングシステムのベンダーにお問い合わせください。
AWS SageMaker
Amazon SageMaker の更新済みバージョンがご利用になれます。Amazon SageMaker のデフォルトのアルゴリズムコンテナまたはフレームワークコンテナをトレーニング、チューニング、バッチ変換、エンドポイントのいずれかにご利用中のお客様には、影響はありません。ラベリングやコンパイルのジョブを実行しているお客様にも影響はありません。Docker コンテナを実行する際に Amazon SageMaker ノートブックを使用されていないお客様には、影響はありません。2 月 11 日以降に起動されたすべてのエンドポイント、ラベリング、トレーニング、チューニング、コンパイル、バッチ変換のジョブには最新の更新が含まれており、お客様によるアクションは必要ありません。CPU インスタンスを使用して 2 月 11 日以降に起動したすべての Amazon SageMaker ノートブックと、GPU インスタンスを使用して 2 月 13 日 18:00 (太平洋標準時) 以降に起動したすべての Amazon SageMaker ノートブックには、最新の更新が含まれており、お客様によるアクションは必要ありません。
AWS では、2 月 11 日より前に作成されたカスタムコードを使用してトレーニング、チューニング、バッチ変換のジョブを実行しているお客様には、ジョブをいったん停止してから起動し直して最新の更新を適用することを推奨いたします。このアクションは、Amazon SageMaker コンソールを操作する、またはこちらの作業要領に従うことで実行できます。
Amazon SageMaker では稼動中のエンドポイントはすべて 4 週間ごとに自動的に最新ソフトウェアに更新されます。2 月 11 日より前に作成されたエンドポイントはすべて 3 月 11 日までに更新完了予定です。自動更新に何らかの問題が生じ、お客様が手動でエンドポイントを更新する必要がある場合は、Amazon SageMaker からお客様の Personal Health Dashboard に向けて通知がパブリッシュされます。すぐにエンドポイントの更新をご希望の場合、Amazon SageMaker コンソールを操作する、または UpdateEndpoint API アクションを使用することで、エンドポイントをいつでも手動でアップデートできます。自動スケーリングを有効にしたエンドポイントをお持ちのお客様には、こちらの作業要領に従ってさらなる予防措置を講じることを推奨いたします。
AWS では、Amazon SageMaker ノートブックで Docker コンテナを実行しているお客様には、Amazon SageMaker ノートブックインスタンスをいったん停止してから起動し直して利用可能な最新ソフトウェアを入手することを推奨いたします。この操作は Amazon SageMaker コンソールから行えます。または、StopNotebookInstance API を使用してノートブックインスタンスを停止し、次に StartNotebookInstance API を使用してノートブックインスタンスを起動することもできます。
AWS RoboMaker
AWS RoboMaker 開発環境の更新済みバージョンがご利用になれます。新規の開発環境では、最新バージョンが使用されます。AWS では、セキュリティ関連の一般的なベストプラクティスとして、RoboMaker 開発環境をお使いのお客様には、常に Cloud9 環境を最新バージョンに更新しておくことを推奨いたします。
AWS IoT GreenGrass Core の更新済みバージョンがご利用になれます。RoboMaker のフリート管理をお使いのお客様は、GreenGrass Core をバージョン 1.7.1 にアップグレードする必要があります。無線通信経由 (OTA) アップグレードの作業要領は、こちらでご覧になれます。
AWS ディープラーニング AMI
Amazon Linux と Amazon Ubuntu 用の Deep Learning Base AMI およびディープラーニング AMI の更新済みバージョンが、AWS Marketplace で入手可能です。AWS では、ディープラーニング AMI や Deep Learning Base AMI で Docker をご利用のお客様には、最新の AMI バージョンの新規インスタンスを起動することを推奨いたします (Amazon Linux および Ubuntu のディープラーニング AMI では v21.2 以降、Amazon Linux の Deep Learning Base AMI では v16.2 以降、Ubuntu の Deep Learning Base AMI では v15.2 以降)。補足情報は、Amazon Linux セキュリティセンターでご覧になれます。