初版発行日: 2022 年 11 月 1 日 9 時 (PDT)
AWS は、OpenSSL 3.0 に関して最近報告された問題 (CVE-2022-3602 および CVE-2022-3786) を認識しています。AWS のサービスは影響を受けず、お客様にご対応いただく事項はございません。さらに、Amazon Linux 1 および Amazon Linux 2 には OpenSSL 3.0 が同梱されていないため、これらの問題による影響はありません。Amazon ECS で Amazon Linux 2022、Bottlerocket OS、または ECS 最適化 Amazon マシンイメージ (AMI) をご利用のお客様は、以下の指示をお読みください。
セキュリティのベストプラクティスとして、OpenSSL 3.0 を含む環境を管理しているお客様には、https://www.openssl.org/source/ で、またはオペレーティングシステムのソフトウェアアップデートメカニズムを介して、利用可能な最新バージョンにアップデートすることをお勧めします。
Amazon Linux 2022
まもなく OpenSSL 3.0 の更新バージョンが Amazon Linux 2022 リポジトリにリリースされます。利用可能になったら、Amazon Linux 2022 のプレビューリリースをテストしているお客様は、パッチを適用したバージョンの OpenSSL 3.0 にアップグレードする必要があります。更新された Amazon Linux 2022 AMI も、まもなく利用可能になります。
詳細については、Amazon Linux セキュリティセンターでご覧いただけます: https://alas.aws.amazon.com/alas2022.html
Amazon Elastic Container Service
Amazon ECS は、これらの問題の緩和策を含む更新された ECS 最適化 Amazon マシンイメージ (AMI) をまもなくリリースします。ECS 最適化 AMI の詳細については、https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html をご覧ください。
その間、Amazon ECS に最適化されたAmazon Linux 2022 AMI のプレビューリリースを使用している ECS のお客様は、DNF 設定を介して OpenSSL 3.0 のバージョンを更新することをお勧めします。詳細については、https://docs.aws.amazon.com/linux/al2022/ug/managing-repos-os-updates.html をご覧ください。
Bottlerocket OS
Bottlerocket OS 自体はこれらの問題の影響を受けませんが、OpenSSL 3.0 の最新バージョンを含む、Bottlerocket Update Operator ソリューションのパッチ適用済みのバージョンをまもなくリリースします。Bottlerocket Update Operator のプレビューバージョンをご利用のお客様は、新しい 1.0.0 バージョンが利用可能になったら、同バージョンにアップグレードする必要があります。バージョン 1.0.0 は、2022 年 11 月 2 日までに利用可能になる予定です。
Bottlerocket Update Operator に関する情報は、https://github.com/bottlerocket-os/bottlerocket-update-operator でご覧いただけます。また、セキュリティアドバイザリは、https://github.com/bottlerocket-os/bottlerocket-update-operator/security/advisories に掲載される場合があります。