こちらの内容は、この問題の最新情報です。
パッチが適用された runC を備えた AWS IoT Greengrass Core V1 (1.10.4 および 1.11.3) のバイナリがダウンロードできるようになりました (https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html)。更新された Greengrass V2 Lambda Launcher v2.0.6 (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html) も AWS IoT コンソールで利用できます。最新の runC のパッチを統合するため、Greengrass をご利用のお客様に、最新のバイナリと Lambda ランチャーにアップグレードすることをお勧めします。
現在ご覧になっているセキュリティ情報は、最新のものではありません。
AWS は、多くのコンテナ管理システム (CVE-2021-30465) のコンポーネントである runC の最近開示されたセキュリティ問題を認識しています。例外となる以下の AWS のサービスを除いて、この問題への対処に関するお客様のアクションは不要です。
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS は、2021 年 5 月 21 日に、パッチが適用されたコンテナランタイムを備えた更新された ECS 最適化 Amazon マシンイメージ (AMI) をリリースしました。ECS 最適化 AMI の詳細は、https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html でご利用いただけます。
当面の間、この問題を解決するには、ECS をご利用のお客様が yum update --security を実行してこのパッチを入手することをお勧めします。詳細については、https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html をご覧ください。
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS は、パッチが適用されたコンテナランタイムを備えた更新された EKS 最適化 Amazon マシンイメージ (AMI) をリリースしました。EKS 最適化 AMI の詳細については、https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.htmlで入手できます。
EKS のお客様は、すべてのワーカーノードを交換して、最新の EKS 最適化 AMI バージョンを使用することをお勧めします。ワーカーノードの更新手順は、https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html で入手できます。
Bottlerocket
Amazon は Bottlerocket AMI とインプレースアップデートをリリースしました。最新のインプレースアップデートに更新するか、インスタンスを最新の AMI に置き換えることにより、この問題は解決します。
Bottlerocket Update Operator for Kubernetes を使用している場合は、ノードが 1 日以内に更新を開始し、すべてのノードが 1 週間以内に更新を開始します。apiclient set updates.ignore-waves=true および apiclient update apply --check --reboot の 2 つの API 呼び出しを使用すると、手動でより迅速にアップグレードできます。更新が完了したら、apiclient set updates.ignore-waves=false を使用してデフォルト設定に戻します。
Amazon Linux および Amazon Linux 2
runc の更新バージョンは、Amazon Linux 2 エクストラリポジトリ (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) および Amazon Linux AMI 2018.03 リポジトリ (*runc-1.0.0-0.2.20210225.git12644e6.3.amzn1*) で利用できます。AWS では、Amazon Linux でコンテナを使用しているお客様は、runc の最新バージョンに更新し、実行中のコンテナを再起動することをお勧めします。
AWS Cloud9
Amazon Linux による AWS Cloud9 環境の更新済みバージョンがご利用になれます。デフォルトでは、初回起動時にセキュリティパッチが適用されます。既存の EC2 ベースの AWS Cloud9 環境をお持ちのお客様は、AWS Cloud9 の最新バージョンから新規インスタンスを起動する必要があります。詳細については、Amazon Linux セキュリティセンター (https://alas.aws.amazon.com/) でご覧になれます。
Amazon Linux でビルドされていない SSH 環境をお使いの AWS Cloud9 のお客様は、この問題の対処に必要な更新について、オペレーティングシステムのベンダーにお問い合わせください。
AWS IoT Greengrass
更新された AWS IoT Greengrass Core V1 バイナリと Greengrass V2 Lambda Launcher は、Greengrass の最新バージョンとして 6 月 15 日までに利用可能になります。このセキュリティ情報は、パッチが利用可能になり次第更新されます。
Greengrass は、runC ライブラリを使用して、Greengrass Core デバイスの OCI 準拠コンテナ内で Lambda 関数を実行します。Greengrass Core にデプロイされた Lambda 関数は、認証および承認済みクラウド API、認証および承認済みのローカル CLI (有効な場合)、またはローカルルートアクセスを介して、Greengrass に提供されます。つまり、Greengrass は意図された Lambda 関数のみをデプロイして実行し、Lambda 関数が信頼できるソースからデプロイされている限り、いかなるアクションも必要ありません。ベストプラクティスとして、お客様は信頼できるソースからのみ Lambda をデプロイする必要があります。
AWS 深層学習 AMI
Amazon Linux と Amazon Linux2 用の深層学習ベース AMI および深層学習 AMI の更新済みバージョンが、AWS EC2 コンソールおよび AWS Marketplace で入手可能です。AWS では、Deep Learning Base AMI または 深層学習 AMI で Docker をご利用のお客様には、最新の AMI バージョンの新規インスタンス (Amazon Linux の 深層学習 Base AMI では v35.0 以降、Amazon Linux2 の Deep Learning Base AMI では v38.0 以降、Amazon Linux および Amazon Linux2 の 深層学習 Base AMI では v45.0 以降) を起動することを推奨しています。補足情報は、Amazon Linux セキュリティセンターでご覧になれます。
AWS Batch
AMI 更新後:
更新された Amazon ECS 最適化 AMI は、デフォルトのコンピューティング環境 AMI としてご利用いただけます。Batch をご利用のお客様には、既存のコンピューティング環境を利用可能な最新の AMI に置き換えることをお勧めします。コンピューティング環境の置き換えの作業要領については、Batch 製品ドキュメントをご覧ください
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments).
デフォルトの AMI をお使いではない Batch のお客様は、この問題の対処に必要な更新に関して、オペレーティングシステムのベンダーにお問い合わせください。Batch カスタム AMI の手順は、Batch 製品のドキュメント (https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html) でご覧いただけます。
AWS Elastic Beanstalk
更新済みの AWS Elastic Beanstalk Docker ベースのプラットフォームバージョンがご利用いただけます。[Managed Updates] (マネージドアップデート) 設定ページにアクセスし、[Apply Now] (今すぐ適用) ボタンをクリックして、今すぐ更新することをお勧めします。マネージドプラットフォーム更新を有効にしていないお客様は、こちらの作業要領に従ってお使いの環境のプラットフォームバージョンを更新することができます。マネージドプラットフォーム更新を使用中の場合、選択したメンテナンスウィンドウで自動的に最新プラットフォームバージョンに更新されるため、お客様によるアクションは必要ありません。リリースノートも利用できます。