현재 이 보안 공지의 이전 버전을 보고 계십니다. 최신 버전을 확인하려면 “컨테이너 보안 문제(CVE-2019-5736)”를 참조하십시오.
2019년 2월 11일 11:00 PM PST
CVE 식별자: CVE-2019-5736
AWS에서는 다수의 오픈소스 컨테이너 관리 시스템에 영향을 미치는 문제점인 최근에 공개된 보안 문제에 관해 알고 있습니다(CVE-2019-5736). 아래 목록에 기재된 AWS 서비스를 제외하고는 이 문제를 해결하기 위해 고객이 별도로 조치를 할 필요는 없습니다.
Amazon Linux
Amazon Linux 2 Extras 리포지토리 및 Amazon AMI 2018.03 리포지토리(ALAS-2019-1156)의 경우 업데이트된 버전의 Docker(docker-18.06.1ce-7.amzn2)를 이용할 수 있습니다. AWS에서는 Amazon Linux에서 Docker를 사용하는 경우 최신 AMI 버전에서 새 인스턴스를 시작하는 방법을 권장합니다. 자세한 정보는 Amazon Linux 보안 센터에서 확인하실 수 있습니다.
Amazon Elastic Container Service(ECS)
Amazon Linux AMI, Amazon Linux 2 AMI 및 GPU-Optimized AMI를 포함한 Amazon ECS Optimized AMI를 지금 이용할 수 있습니다. 전반적인 보안 모범 사례에 따라, ECS 고객은 최신 AMI 버전에서 새 컨테이너 인스턴스를 시작하도록 구성을 업데이트하는 것이 좋습니다. 기존 컨테이너 인스턴스를 새 AMI 버전으로 교체하면 위에 설명한 문제가 해결됩니다. 기존 컨테이너 인스턴스를 교체하는 지침은 Amazon Linux AMI, Amazon Linux 2 AMI 및 GPU-Optimized AMI에 관한 ECS 설명서를 참조하시기 바랍니다.
ECS Optimized AMI를 사용하지 않는 Linux 고객은 필요한 경우 운영 체제, 소프트웨어 또는 AMI 공급업체에 업데이트 및 지침을 문의하는 것이 좋습니다. Amazon Linux 관련 지침은 Amazon Linux 보안 센터에서 확인하실 수 있습니다.
Amazon Elastic Container Service for Kubernetes(EKS)
업데이트된 Amazon EKS Optimized AMI를 AWS Marketplace에서 이용할 수 있습니다. 전반적인 보안 모범 사례에 따라 EKS 고객은 최신 AMI 버전에서 새 작업자 노드를 시작하도록 구성을 업데이트하는 것이 좋습니다. 기존 작업자 노드를 새 AMI 버전으로 교체하면 위에 설명한 문제가 해결됩니다. 작업자 노드 업데이트 방법에 대한 지침은 EKS 설명서를 참조하시기 바랍니다.
EKS Optimized AMI를 사용하지 않는 Linux 고객은 운영 체제 공급업체에 해당 문제 해결에 필요한 업데이트를 문의하십시오. Amazon Linux 관련 지침은 Amazon Linux 보안 센터에서 확인하실 수 있습니다.
AWS Fargate
플랫폼 버전 1.3용으로 업데이트된 버전의 Fargate를 이용할 수 있으며 이 버전은 CVE-2019-5736에 설명된 문제를 완화해줍니다. 기존 플랫폼 버전(1.0.0, 1.1.0, 1.2.0)의 패치된 버전을 2019년 3월 15일에 공개할 예정입니다.
Fargate 서비스를 실행하는 고객은 "--force-new-deployment"를 사용하기로 설정하고 UpdateService를 호출하여 모든 새 작업을 최신 플랫폼 버전 1.3에서 시작하도록 해야 합니다. 독립 실행형 작업을 실행하는 고객의 경우 기존 작업을 종료하고 최신 버전을 사용해 다시 시작하십시오. 구체적인 지시 사항은 Fargate 업데이트 설명서에서 확인하실 수 있습니다.
패치된 버전으로 업그레이드되지 않는 모든 작업은 2019년 4월 19일부로 폐지됩니다. 독립 실행형 작업을 사용하는 고객은 반드시 새 작업을 시작하여 폐지된 작업을 대체해야 합니다. 자세한 내용은 Fargate 작업 폐지 설명서에서 확인하실 수 있습니다.
AWS IoT Greengrass
AWS IoT GreenGrass Core의 업데이트된 버전을 1.7.1 및 1.6.1용으로 이용할 수 있습니다. 업데이트된 버전에는 Linux 커널 버전 3.17 이상에서 이용할 수 있는 기능이 필요합니다. 커널을 업데이트하는 방법에 관한 지시 사항은 여기를 참조하십시오.
전반적인 보안 모범 사례에 따라 GreenGrass Core를 실행하는 고객은(버전 무관) 버전 1.7.1로 업그레이드하는 것이 좋습니다. OTA(무선) 업데이트 지시 사항은 여기를 참조하십시오.
AWS Batch
업데이트된 Amazon ECS Optimized AMI를 기본 컴퓨팅 환경 AMI 형태로 이용할 수 있습니다. 전반적인 보안 모범 사례에 따라 Batch 고객은 기존 컴퓨팅 환경을 이용 가능한 최신 AMI로 교체하는 것이 좋습니다. 컴퓨팅 환경 교체 방법에 관한 지침은 Batch 제품 설명서에서 확인하실 수 있습니다.
기본 AMI를 사용하지 않는 Batch 고객은 운영 체제 공급업체에 해당 문제 해결에 필요한 업데이트를 문의하십시오. Batch 사용자 지정 AMI에 대한 지침은 Batch 제품 설명서에서 확인하실 수 있습니다.
AWS Elastic Beanstalk
업데이트된 AWS Elastic Beanstalk Docker 기반 플랫폼 버전을 이용할 수 있습니다. Managed Platform Updates를 이용하는 고객의 경우 고객 측에서 아무런 조치를 하지 않아도 선택한 유지관리 창에서 자동으로 최신 플랫폼 버전으로 업데이트됩니다. 또한 고객이 바로 [관리형 업데이트] 구성 페이지로 이동하여 [지금 적용] 버튼을 클릭하면 즉시 업데이트를 수행할 수도 있습니다. Managed Platform Updates를 사용하기로 설정하지 않은 고객의 경우, 환경의 플랫폼 버전을 업데이트하려면 여기의 지침을 따르면 됩니다.
AWS Cloud9
업데이트된 AWS Cloud9 환경(Amazon Linux 포함)을 이용할 수 있습니다. 기본적으로 처음 부팅할 때 보안 패치가 적용됩니다. 기존 EC2 기반 AWS Cloud9 환경을 보유한 고객의 경우 최신 AWS Cloud9 버전에서 새 인스턴스를 시작해야 합니다. 자세한 정보는 Amazon Linux 보안 센터에서 확인하실 수 있습니다.
Amazon Linux로 빌드하지 않은 SSH 환경을 사용하는 AWS Cloud9 고객은 운영 체제 공급업체에 해당 문제 해결에 필요한 업데이트를 문의하십시오.
AWS SageMaker
업데이트된 버전의 Amazon SageMaker를 이용할 수 있습니다. 교육, 튜닝, 일괄 변환 또는 엔드포인트용으로 Amazon SageMaker의 기본 알고리즘 컨테이너 또는 프레임워크 컨테이너를 사용하는 고객에게는 아무런 영향이 없습니다. 레이블링 또는 컴파일 작업을 실행하는 고객에게도 아무런 영향이 없습니다. Docker 컨테이너를 실행하기 위해 Amazon SageMaker 노트북을 사용하지 않는 고객에게는 아무런 영향이 없습니다. 또한 CPU 인스턴스를 사용하여 2월 11일 이후(당일 포함)에 시작한 모든 Amazon SageMaker 노트북에는 최신 업데이트가 포함되며 고객 측에서 별도의 조치를 취하지 않아도 됩니다. 2월 11일 이후(당일 포함)에 시작한 모든 엔드포인트, 레이블링, 교육, 튜닝, 컴파일 및 일괄 변환 작업에는 최신 업데이트가 포함되며 고객 측에서 별도의 조치를 취하지 않아도 됩니다.
AWS에서는 2월 11일 전에 생성한 사용자 지정 코드로 교육, 튜닝 및 일괄 변환 작업을 실행하는 고객은 작업을 중지했다가 다시 시작하여 최신 업데이트를 포함하도록 권장합니다. 이러한 작업은 Amazon SageMaker 콘솔에서 수행해도 되고, 여기의 지침을 따라 해도 됩니다.
Amazon SageMaker는 4주에 한 번씩 서비스 중인 모든 엔드포인트를 최신 소프트웨어로 자동으로 업데이트합니다. 2월 11일 전에 생성한 모든 엔드포인트는 3월 11일까지 업데이트될 것으로 예상됩니다. 자동 업데이트와 관련해 문제가 있거나 고객이 엔드포인트를 업데이트하기 위해 별도의 조치를 해야 하는 경우, Amazon SageMaker가 고객의 Personal Health Dashboard에 알림을 게재합니다. 엔드포인트를 더 일찍 업데이트하고자 하는 고객의 경우, Amazon SageMaker 콘솔에서 엔드포인트를 수동으로 업데이트해도 되고 언제든 UpdateEndpoint API 작업을 사용해서 업데이트할 수도 있습니다. autoscaling을 사용하는 엔드포인트를 가진 고객은 여기의 지시 사항을 따라 추가적인 예방 조치를 하는 것을 권장합니다.
AWS에서는 CPU 인스턴스로 실행 중인 Amazon SageMaker 노트북에서 Docker 컨테이너를 실행하는 고객의 경우 Amazon SageMaker 노트북 인스턴스를 중지했다가 다시 시작하여 이용 가능한 최신 소프트웨어를 가져오는 방안을 권장합니다. 이 작업은 Amazon SageMaker 콘솔에서 수행하면 됩니다. 아니면 먼저 StopNotebookInstance API를 사용하여 노트북 인스턴스를 중지하고, 그런 다음 StartNotebookInstance API를 사용해 노트북을 시작하는 방법도 있습니다.
GPU 인스턴스를 포함한 업데이트된 버전의 Amazon SageMaker 노트북은 Nvidia 패치를 출시한 후 곧 공개할 예정입니다. 업데이트된 버전이 공개되는 대로 이 공지를 업데이트하겠습니다. GPU 인스턴스를 포함한 노트북에서 Docker 컨테이너를 실행하는 고객의 경우 콘솔을 통해 노트북 인스턴스를 일시적으로 중지하여 예방 조치를 취할 수도 있고, 아니면 StopNotebook Instance API를 사용하여 인스턴스를 중지한 다음 업데이트된 버전을 이용할 수 있게 되면 StartNotebookInstance를 사용해 노트북 인스턴스를 시작해도 됩니다.
AWS RoboMaker
업데이트된 버전의 AWS RoboMaker 개발 환경을 이용할 수 있습니다. 새 개발 환경은 최신 버전을 사용합니다. 전반적인 보안 모범 사례에 따라 AWS에서는 RoboMaker 개발 환경을 사용하는 고객은 Cloud9 환경을 최신 버전으로 유지하도록 권장하고 있습니다.
AWS IoT GreenGrass Core의 업데이트된 버전을 이용할 수 있습니다. RoboMaker Fleet Management를 사용하는 모든 고객은 GreenGrass Core를 버전 1.7.1로 업그레이드해야 합니다. OTA(무선) 업그레이드 지침은 여기를 참조하십시오.
AWS Deep Learning AMI
Amazon Linux용 Deep Learning Base AMI 및 Deep Learning AMI의 업데이트된 버전을 AWS Marketplace에서 이용할 수 있습니다. AWS에서는 Docker를 Deep Learning AMI 또는 Deep Learning Base AMI와 함께 사용해온 고객의 경우 최신 AMI 버전의 새 인스턴스를 시작할 것을 권장합니다(Amazon Linux의 Deep Learning AMI의 경우 v21.1, Deep Learning Base AMI의 v16.1). 자세한 정보는 Amazon Linux 보안 센터에서 확인하실 수 있습니다. 또한 AWS에서는 nvidia-docker2 및 관련 제품의 업데이트에 관하여 Nvidia의 보안 공지를 모니터링하는 것을 권장하고 있습니다.
AWS에서는 Ubuntu에서 Deep Learning AMI 또는 Deep Learning Base AMI와 함께 Docker를 사용해온 고객의 경우 최신 AMI 버전의 새 인스턴스를 시작하고 이 지시 사항을 따라 Docker를 업그레이드하는 것을 권장합니다(설치 단계를 모두 따라야 함).
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
또한 이 지침은 nvidia-docker2를 자동으로 업데이트합니다. 업데이트된 버전의 Ubuntu용 Deep Learning Base AMI 및 Deep Learning AMI는 관련 보안 패치가 모두 출시된 이후에 다운로드할 수 있게 됩니다. 업데이트된 AMI가 공개되면 이 공지를 업데이트하겠습니다.