CVE 識別子: CVE-2020-8558
こちらの内容は、この問題の最新情報です。
AWS は、Kubernetes コミュニティによって最近公開され、Linux コンテナネットワーキングに影響を与えるセキュリティの問題を認識しています (CVE-2020-8558)。この問題により、同じホストまたは隣接ホスト (同じ LAN またはレイヤー 2 ドメインで実行されているホスト) で実行されているコンテナが、localhost (127.0.0.1) にバインドされた TCP および UDP サービスに到達する可能性があります。
Amazon ECS と Amazon EKS のお客様間の分離を維持するためのすべての AWS セキュリティコントロールは、引き続き正しく機能します。この問題により、クロスアカウントデータアクセスのリスクは生じません。あるホスト上のコンテナ内のプロセスは、同じホストまたは同じ VPC とサブネット内の他のホスト上の他のコンテナへの意図しないネットワークアクセスを取得できる可能性があります。お客様によるご対応が必要であり、即時の対応策の手順は https://github.com/aws/containers-roadmap/issues/976 でご確認いただけます。すべての Amazon ECS および Amazon EKS のお客様は、最新の AMI に更新する必要があります。
AWS Fargate
AWS Fargate は影響を受けません。お客様によるご対応は不要です。
Amazon Elastic Container Service (Amazon ECS)
更新された Amazon ECS 最適化 AMI が利用可能になりました。セキュリティ関連の一般的なベストプラクティスとして、ECS のお客様には、AMI の最新バージョンから新規のコンテナインスタンスを起動するよう設定を更新することを推奨いたします。
ECS のドキュメントを参照して、AMI をアップグレードできます。
Amazon Elastic Kubernetes Service (Amazon EKS)
更新された Amazon EKS 最適化 AMI が利用可能になりました。セキュリティ関連の一般的なベストプラクティスとして、EKS のお客様には、AMI の最新バージョンから新規のワーカーノードを起動するよう設定を更新することを推奨いたします。
マネージドノードグループを使用しているお客様は、EKS のドキュメントを参照してノードグループをアップグレードできます。ワーカーノードを自己管理しているお客様は、EKS のドキュメントを参照して、既存のインスタンスを新しい AMI バージョンに置き換える必要があります。
CVE 識別子: CVE-2020-8558
現在ご覧になっているセキュリティ情報は、最新のものではありません。
AWS は、Kubernetes コミュニティによって最近公開され、Linux コンテナネットワーキングに影響を与えるセキュリティの問題を認識しています (CVE-2020-8558)。この問題により、同じホストまたは隣接ホスト (同じ LAN またはレイヤー 2 ドメインで実行されているホスト) で実行されているコンテナが、localhost (127.0.0.1) にバインドされた TCP および UDP サービスに到達する可能性があります。
AWS Fargate は影響を受けません。お客様によるご対応は不要です。
Amazon ECS と Amazon EKS のお客様間の分離を維持するためのすべての AWS セキュリティコントロールは、引き続き正しく機能します。この問題により、クロスアカウントデータアクセスのリスクは生じません。あるホスト上のコンテナ内のプロセスは、同じホストまたは同じ VPC とサブネット内の他のホスト上の他のコンテナへの意図しないネットワークアクセスを取得できる可能性があります。お客様によるご対応が必要であり、即時の対応策の手順は https://github.com/aws/containers-roadmap/issues/976 でご確認いただけます。
Amazon ECS と Amazon EKS の両方の更新された Amazon マシンイメージをリリースする予定です。これらの AMI が利用可能になり次第、更新をお願いいたします。
AWS Fargate
AWS Fargate は影響を受けません。お客様によるご対応は不要です。
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS は、2020 年 7 月 9 日に、Amazon Linux AMI、Amazon Linux 2 AMI、GPU 最適化 AMI、ARM 最適化 AMI、および Inferentia 最適化 AMI などの更新された ECS 最適化 AMI をリリースします。これらの AMI のいずれかを使用するように更新すると、問題の影響が緩和されます。更新済み AMI が利用可能になり次第、こちらでお知らせします。
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS は、2020 年 7 月 9 日に、Kubernetes 1.14、1.15、および1.16 用の Amazon Linux 2 EKS 最適化 AMI と高速化された EKS 最適化 AMI などの更新された EKS 最適化 AMI をリリースします。これらの AMI のいずれかを使用するように更新すると、問題の影響が緩和されます。更新済み AMI が利用可能になり次第、こちらでお知らせします。