メインコンテンツに移動

CVE-2024-21626 - runC コンテナに関する問題

対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
公開日:2018年1月31日午後1時30分(太平洋標準時)

CVE 識別子:CVE-2024-21626

AWS では、最近明らかになったセキュリティ問題について認識しています。本問題は一部のオープンソースのコンテナ管理システムの runC コンポーネントに影響します (CVE-2024-21626)。以下の AWS サービスを除き、この問題に対処するためにお客様側で必要な対応はありません。

Amazon Linux
runC の更新バージョンは、Amazon Linux 1 (runc-1.1.11-1.0.amzn1)、Amazon Linux 2 (runc-1.1.11-1.amzn2)、Amazon Linux 2023 (runc-1.1.11-1.amzn2023) でご利用いただけます。runC または他のコンテナ関連ソフトウェアを使用するお客様に対し、AWS ではこれらの更新または新しいバージョンの適用を推奨しています。詳細については、 Amazon Linux セキュリティセンターを参照してください

Bottlerocket OS
runC の更新バージョンは、2024 年 2 月 2 日までにリリース予定の Bottlerocket 1.19.0 に含まれる予定です。AWS は、Bottlerocket をご利用のお客様に対し、この更新または新しいバージョンの適用を推奨しています。詳細情報は、ボトルロケットセキュリティアドバイザリおよびボトルロケットリリースノートに掲載されます

Amazon Elastic Container Service (ECS)
この CVE には runc でパッチが適用されており、2024 年 1 月 31 日にリリースされた最新の Amazon ECS 最適化された Amazon マシンイメージ (AMI) の一部として runc の更新バージョン 1.1.11-1 が提供されています。

ECS のお客様には、これらの AMI (もしくは利用可能な最新の AMI) に更新するか、または「yum update —security」を実行してこのパッチを入手することをお勧めします。追加情報については、「Amazon ECS に最適化された AMI」ユーザーガイドを参照してください。 

Amazon Elastic Kubernetes Services (EKS)
Amazon EKS は、パッチが適用されたコンテナランタイムを含む、更新された EKS 最適化 Amazon マシンイメージ (AMI) のバージョン v20240129 をリリースしました。マネージドノードグループを使用するお客様は、 EKS ドキュメントを参照してノードグループをアップグレードできますKarpenter を使用しているお客様は、ドリフトまたは AMI 選択に関するドキュメントに従ってノードを更新できます。自己管理型ワーカーノードを使用するお客様は、 EKS ドキュメントを参照して既存のノードを置き換えることができます。

 Amazon EKS Fargate では、2024 年 2 月 1 日までにクラスター上の新しいポッド向けの更新が利用可能になり、末尾が eks-680e576 の Kubelet バージョンが表示される予定です。kubectl get nodes を実行すると、ノードのバージョンを確認できます。2024 年 2 月 2 日以降にパッチを受け取るには、既存のポッドを削除する必要があります。Fargate ポッドの削除と作成に関する情報については、「Amazon EKS を使用した AWS Fargate 入門」ドキュメントを参照してください。

Amazon EKS Anywhere は、パッチが適用されたコンテナランタイムを含む更新済みイメージバージョン v0.18.6 をリリースしました。パッチが適用された VM イメージを使用するようにクラスターをアップグレードする方法については、EKS Anywhere の「クラスターのアップグレード」ドキュメントを参照してください。

AWS Elastic Beanstalk
AWS Elastic Beanstalk の更新済みの Docker および ECS ベースのプラットフォームバージョンがご利用いただけます。Managed Platform Updatesを使用しているお客様は、選択したメンテナンス期間に自動的に最新のプラットフォームバージョンに更新され、何もする必要はありません。直ちに更新を行う場合は、マネージド更新の設定ページにアクセスし、[今すぐ適用] ボタンをクリックしてください。マネージドプラットフォーム更新を有効にしていないお客様は、『 Elastic Beanstalk 環境のプラットフォームバージョンの更新』ユーザーガイドに従って、環境のプラットフォームバージョンを更新できます

Finch
runC の更新バージョンは、最新リリースの v1.1.0 の Finch でご利用いただけます。この問題に対処するには、macOS にインストールされている Finch をアップグレードする必要があります。Finch のリリースは、プロジェクトの GitHub リリースページからダウンロードするか、Homebrew 経由で Finch をインストールした場合は「brew update」を実行してダウンロードできます。

AWS 深層学習 AMI
影響を受ける runC パッケージは、Amazon Linux 2 深層学習 AMI の一部です。この runC パッケージは、Amazon Linux 2 のアップストリームリリースから取得されたものです。深層学習 AMI は、パッチが適用された最新のパッケージを、Amazon Linux チームからの提供が開始された段階で自動的に使用します。リリース後、影響を受けるお客様は、問題を軽減するために、最新の深層学習 AMI を取得して最新の runC の更新を使用する必要があります。

AWS Batch
デフォルトのコンピューティング環境 AMI として、更新された Amazon ECS 最適化 AMI をご利用いただけます。セキュリティの一般的なベストプラクティスとして、Batch をお使いのお客様は、既存のコンピューティング環境を最新の AMI に置き換えることをお勧めします。コンピュート環境の交換手順は、Batch 製品ドキュメントに記載されています

デフォルトの AMI を使用していない Batch のお客様は、これらの問題に対処するために必要な更新について、オペレーティングシステムのベンダーまでお問い合わせください。バッチカスタム AMI の手順は、Batch 製品ドキュメントに記載されています

Amazon SageMaker
2024 年 2 月 2 日以降に作成または再起動されたすべての SageMaker リソース (SageMaker ノートブックインスタンス、SageMaker トレーニングジョブ、SageMaker 処理ジョブ、SageMaker バッチ変換ジョブ、SageMaker Studio、SageMaker 推論など) は、自動的にパッチを使用します。SageMaker 推論の場合、再作成されなかったライブエンドポイントには 2024 年 2 月 7 日までにパッチが自動的に適用されます。

セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までお問い合わせください。