컨테이너 네트워킹 보안 문제(CVE-2020-8558)

[V2] 최종 업데이트 날짜: 2020년 7월 9일 오후 6:30 PDT

CVE 식별자: CVE-2020-8558

이 문제를 해결하기 위한 업데이트입니다.

AWS는 Kubernetes 커뮤니티에서 최근 공개된 Linux 컨테이너 네트워킹 관련 보안 문제(CVE-2020-8558)에 주목하고 있습니다. 이 문제로 인해 같은 호스트 또는 인접한 호스트(동일한 LAN 또는 계층 2 도메인)에서 실행 중인 컨테이너가 localhost(127.0.0.1)에 바인딩된 TCP 및 UDP 서비스에 연결할 수 있습니다.

Amazon ECS 및 Amazon EKS의 고객을 서로 분리된 상태로 유지하는 모든 AWS 보안 제어 기능은 계속 정상적으로 작동합니다. 이 문제는 계정 간 데이터 액세스에 어떤 위험도 초래하지 않습니다. 특정 호스트의 컨테이너 내에 있는 프로세스가 같은 호스트에 있거나 동일한 VPC 및 서브넷 내의 다른 호스트에 있는 다른 컨테이너에 무단으로 네트워크를 통해 액세스할 수 있습니다. 고객의 조치가 필요합니다. https://github.com/aws/containers-roadmap/issues/976에서 즉시 마이그레이션하는 단계를 참조하십시오. 모든 Amazon ECS 및 Amazon EKS 고객은 최신 AMI로 업데이트해야 합니다.

AWS Fargate
AWS Fargate에는 영향이 없습니다. 고객 작업은 필요하지 않습니다.

Amazon Elastic Container Service(Amazon ECS)
이제 업데이트된 Amazon ECS 최적화 AMI를 사용할 수 있습니다. 전반적인 보안 모범 사례에 따라, ECS 고객은 최신 AMI 버전에서 새 컨테이너 인스턴스를 시작하도록 구성을 업데이트하는 것이 좋습니다.

고객은 ECS 설명서를 참조하여 AMI를 업그레이드할 수 있습니다.

Amazon Elastic Kubernetes Service(EKS)
이제 업데이트된 Amazon EKS 최적화 AMI를 사용할 수 있습니다. 일반적인 보안 모범 사례에 따라 EKS 고객은 최신 AMI 버전에서 새 작업자 노드를 시작하도록 구성을 업데이트하는 것이 좋습니다.

관리형 노드 그룹을 사용하는 고객은 EKS 설명서를 참조하여 노드 그룹을 업그레이드할 수 있습니다. 작업자 노드를 자체적으로 관리하는 고객은 EKS 설명서를 참조하여 기존 인스턴스를 새 AMI 버전으로 바꿀 수 있습니다. 

[V1] 최초 게시 날짜: 2020년 7월 8일 오후 7:15 PDT

CVE 식별자: CVE-2020-8558

현재 이 보안 공지의 이전 버전을 보고 계십니다.

AWS는 Kubernetes 커뮤니티에서 최근 공개된 Linux 컨테이너 네트워킹 관련 보안 문제(CVE-2020-8558)에 주목하고 있습니다. 이 문제로 인해 같은 호스트 또는 인접한 호스트(동일한 LAN 또는 계층 2 도메인)에서 실행 중인 컨테이너가 localhost(127.0.0.1)에 바인딩된 TCP 및 UDP 서비스에 연결할 수 있습니다.

AWS Fargate에는 영향이 없습니다. 고객 작업은 필요하지 않습니다.

Amazon ECS 및 Amazon EKS의 고객을 서로 분리된 상태로 유지하는 모든 AWS 보안 제어 기능은 계속 정상적으로 작동합니다. 이 문제는 계정 간 데이터 액세스에 어떤 위험도 초래하지 않습니다. 특정 호스트의 컨테이너 내에 있는 프로세스가 같은 호스트에 있거나 동일한 VPC 및 서브넷 내의 다른 호스트에 있는 다른 컨테이너에 무단으로 네트워크를 통해 액세스할 수 있습니다. 고객의 조치가 필요합니다. https://github.com/aws/containers-roadmap/issues/976에서 즉시 마이그레이션하는 단계를 참조하십시오.

Amazon ECS와 Amazon EKS의 업데이트된 Amazon Machine Image를 릴리스할 예정이며 고객은 제공되는 즉시 해당 AMI로 업데이트해야 합니다.

AWS Fargate
AWS Fargate에는 영향이 없습니다. 고객이 취해야 할 조치는 없습니다.

Amazon Elastic Container Service(ECS)
Amazon ECS는 2020년 7월 9일, Amazon Linux AMI, Amazon Linux 2 AMI, GPU 최적화 AMI, ARM 최적화 AMI, Inferentia 최적화 AMI 등 업데이트된 ECS 최적화 AMI를 릴리스할 예정입니다. 해당 AMI를 사용하도록 업데이트하면 문제가 완화됩니다. 업데이트된 AMI가 공개되는 대로 이 공지를 업데이트하겠습니다.

Amazon Elastic Kubernetes Service(EKS)
Amazon EKS는 2020년 7월 9일, Amazon Linux 2 EKS 최적화 AMI와 Kubernetes용 EKS 최적화 가속 AMI 1.14, 1.15 및 1.16을 비롯한 업데이트된 EKS 최적화 AMI를 릴리스할 예정입니다. 해당 AMI를 사용하도록 업데이트하면 문제가 완화됩니다. 업데이트된 AMI가 공개되는 대로 이 공지를 업데이트하겠습니다.