速報 ID: AWS-2025-024
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 11 月 5 日 午前 8 時 45 分 (PDT)

CVE 識別子: CVE-2025-31133、CVE-2025-52565、CVE-2025-52881

AWS では、最近明らかになったセキュリティ問題を把握しています。これらの問題 (CVE-2025-31133、CVE-2025-52565、CVE-2025-52881) は、新しいコンテナの起動時に複数のオープンソースコンテナ管理システムの runc コンポーネントに影響を及ぼします。AWS はコンテナをセキュリティ境界と見なしておらず、お客様同士を分離するためにコンテナを利用することはありません。これらの問題によってお客様間で発生するリスクはありません。独自の自己管理型環境内にあるワークロードの分離にコンテナを利用している AWS のお客様には、これらの問題に起因する潜在的な懸念を軽減するために必要な更新や手順について、オペレーティングシステムベンダーに問い合わせることが強く推奨されます。

以下の AWS サービスを使用している場合を除き、この問題に対処するためにお客様が行う必要のある措置はありません。ベストプラクティスとして、AWS ではすべてのセキュリティパッチとソフトウェアバージョン更新の適用を常にお勧めしています。

Amazon Linux

runc の更新バージョンが Amazon Linux 2 (runc-1.3.2-2.amzn2) および Amazon Linux 2023 (runc-1.3.2-2.amzn2023.0.1) で利用可能になります。Amazon Linux 2 または Amazon Linux 2023 をご利用のお客様には、runc のバージョンを少なくとも 1.3.2-2 に更新することをお勧めします。詳細情報は、Amazon Linux Security Center でご覧いただけます。

Bottlerocket

runc の更新バージョンは、2025 年 11 月 5 日にリリースされる Bottlerocket 1.50.0 に含まれています。Bottlerocket をご利用のお客様には、この更新の適用をお勧めします。詳細情報は、Bottlerocket リリースノートに掲載されます。

Amazon Elastic Container Service (ECS)

Amazon ECS は、Amazon ECS 最適化 Amazon マシンイメージ (AMI) の更新バージョン (バージョン 20251031) を 2025 年 11 月 5 日にリリースします。この更新バージョンには、新しい runc バージョン (バージョン 1.3.2-2) が含まれています。EC2 インスタンスで ECS をご利用のお客様には、これらの最新 AMI に更新するか、「yum update-security」を実行してセキュリティパッチを取得することをお勧めします。詳細情報については、「Amazon ECS-optimized AMI User Guide」を参照してください。

Amazon ECS Fargate は、2025 年 11 月 5 日以降に起動されるすべての Fargate タスクに runc の更新バージョンを自動的に組み込みます。お客様が実行する必要のある措置はありません。

Amazon ECS マネージドインスタンスは、runc の更新バージョンが含まれる新しい AMI を 2025 年 11 月 5 日にリリースします。ECS は、新規タスクが既存のコンテナインスタンスに配置されないようにします。その代わりに、すべての新規タスクは更新された runc バージョンが含まれる新しい AMI を使用する新しいコンテナインスタンスに配置されます。お客様が実行する必要のある措置はありません。

Amazon Elastic Kubernetes Service (EKS)

Amazon EKS は、パッチ適用済みのコンテナランタイムが含まれる更新された EKS Auto Mode AMI を 2025 年 11 月 5 日にリリースします。デフォルトのドリフト設定になっている Auto Mode NodePools は、パッチ適用済みの AMIバージョンへの更新を自動的に開始します。ノード中断制御が設定されているノードは、初回起動から 21 日以内にパッチ適用済みのバージョンに更新されます。ノードを今すぐ更新するには、ノードを削除して即時交換を強制実行できます。お客様は、kubectl get node-o wide を実行し、「OS Image」フィールドを調べることで、ノードがパッチ適用済みの AMI を実行していることを確認できます。パッチ適用済みのノードでは、日付が 2025.11.01 以降になります (例: Bottlerocket (EKS Auto, Standard) 2025.11.01 (aws-k8s-1.34-standard))。

Amazon EKS は、パッチ適用済みのコンテナランタイムが含まれる EKS 最適化 AL2/AL2023 Amazon マシンイメージ (AMI) バージョン v20251103 を 2025 年 11 月 5 日にリリースします。パッチ適用済みのコンテナランタイムは EKS Bottlerocket AMI 1.50.0 にも含まれています。マネージド型ノードグループをご利用のお客様は、EKS ドキュメントを参照することでノードグループをアップグレードできます。Karpenter をご利用のお客様は、ドリフトまたは AMI の選択に関するドキュメントの説明に従ってノードを更新できます。セルフマネージド型ワーカーノードをご利用のお客様は、EKS ドキュメントを参照することで既存のノードを置き換えることができます。

Amazon EKS Fargate では、2025 年 11 月 5 日に新規または既存のクラスターにある新しいポッドに対する更新が利用可能になります。お客様がパッチ適用済みのランタイムを使用するには、既存の Amazon EKS Fargate ポッドを削除する必要があります。お客様は、kubectl get nodes を実行することで、eks-3cfe0ce で終わる Kubelet バージョンのパッチがノードに適用されていることを確認できます。Fargate ポッドの削除および作成方法については、「Amazon EKS を使用した AWS Fargate の使用開始」ドキュメントを参照してください。

Amazon EKS Anywhere は、2025 年 11 月 6 日にパッチ適用済みの runc (バージョン 1.3.2-2) が含まれる更新バージョン v0.24.0 と 0.23.5 をリリースします。クラスターをアップグレードしてパッチ適用済みの仮想マシンイメージを使用する方法については、EKS Anywhere の「Upgrade cluster」ドキュメントを参照してください。

AWS Elastic Beanstalk

2025 年 11 月 5 日に、AWS Elastic Beanstalk の更新された Docker および ECS ベースのプラットフォームバージョンが利用可能になります。管理されたプラットフォームの更新をご利用のお客様は、選択したメンテナンスウィンドウ内で最新のプラットフォームバージョンに自動更新されるので、お客様が対処する必要はありません。[管理された更新] 設定ページにアクセスし、[今すぐ適用] ボタンをクリックすることで、即時に更新することも可能です。管理されたプラットフォームの更新を有効にしていないお客様は、ドキュメントに記載されている手順に従って環境のプラットフォームバージョンを更新できます。

Finch

macOS および Windows プラットフォーム向けの Finch では、runc の更新済みバージョン (最新リリースの v1.13.0) が 2025 年 11 月 5 日に利用可能になります。お客様は、macOS および Windows にインストールされている Finch をアップグレードしてこの問題に対処する必要があります。Finch リリースは、プロジェクトの GitHub リリースページからダウンロードできます。Homebrew 経由で Finch をインストールした場合は、「brew update」を実行することでダウンロードできます。更新が完了したら、仮想マシンの削除と新規初期化 (init) によって仮想マシンを再初期化する必要があります。

AWS 深層学習 AMI

2025 年 11 月 5 日に、更新された Amazon Linux 2 および Amazon Linux 2023 深層学習 AMI が利用可能になります。お客様は、最新の AMI バージョンが利用可能になった時点で更新を行う必要があります。

AWS Batch

一般的なセキュリティベストプラクティスとして、Batch のお客様には、最新 AMI が利用可能になった時点で既存のコンピューティング環境を最新 AMI に置き換えることをお勧めします。コンピューティング環境の置き換えに関する手順は、Batch の製品ドキュメントに記載されています。更新済みの Amazon ECS および EKS 最適化 AMI は、2025 年 11 月 12 日にデフォルトのコンピューティング環境 AMI として利用可能になります。

デフォルト AMI を使用していない Batch のお客様は、これらの問題に対処するために必要な更新についてオペレーティングシステムベンダーにお問い合わせください。Batch のカスタム AMI に関する手順は、Batch の製品ドキュメントに記載されています。

Amazon SageMaker

2025 年 11 月 7 日以降に作成または再起動された SageMaker リソースには、runc のパッチ適用済みバージョンが自動的に使用されます。これには、SageMaker ノートブックインスタンス、SageMaker トレーニングジョブ、SageMaker 処理ジョブ、SageMaker バッチ変換ジョブ、SageMaker Studio および SageMaker 推論が含まれます。AWS は、AWS 深層学習 AMI と Amazon Linux AMI が利用可能になった時点で、2025 年 11 月 7 日より前に作成された既存 SageMaker リソースへのパッチ適用を開始します。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。