이 문제를 해결하기 위한 업데이트입니다.
이제 runC가 패치된 AWS IoT Greengrass Core V1(1.10.4 및 1.11.3) 바이너리를 다운로드할 수 있습니다(https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html). 업데이트된 Greengrass V2 Lambda Launcher v2.0.6(https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html)이 AWS IoT 콘솔에서도 사용 가능합니다. Greengrass 고객은 최신 바이너리와 Lambda Launcher로 업그레이드하여 최신 runC 패치를 통합하는 것이 좋습니다.
현재 이 보안 공지의 이전 버전을 보고 계십니다.
AWS는 여러 컨테이너 관리 시스템의 구성 요소인 runC에서 최근에 드러난 보안 문제(CVE-2021-30465)를 알고 있습니다. 아래 목록에 기재된 AWS 서비스를 제외하고는 이 문제를 해결하기 위해 고객이 별도로 조치를 할 필요는 없습니다.
Amazon Elastic Container Service(Amazon ECS)
Amazon ECS는 패치된 컨테이너 런타임이 포함된 업데이트된 ECS 최적화 Amazon Machine Image(AMI)를 2021년 5월 21일 발표했습니다. ECS 최적화 AMI에 대한 자세한 내용은 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html을 참조하세요.
그 동안 이 문제를 해결하려면 ECS 고객이 yum update --security를 수행하여 이 패치를 받는 것이 좋습니다. 자세한 내용은 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html에서 확인할 수 있습니다.
Amazon Elastic Kubernetes Service(Amazon EKS)
Amazon EKS는 패치된 컨테이너 런타임이 포함된 업데이트된 EKS 최적화 Amazon Machine Image(AMI)를 발표했습니다. EKS 최적화 AMI에 대한 자세한 내용은 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html을 참조하세요.
EKS 고객은 모든 작업자 노드를 교체하여 최신 EKS 최적화 AMI 버전을 사용하는 것이 좋습니다. 작업자 노드를 업데이트하는 방법에 대한 지침은 https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html을 참조하세요.
Bottlerocket
Amazon은 Bottlerocket AMI 및 인플레이스 업데이트를 발표했습니다. 최신 내부 업데이트로 업데이트하거나 인스턴스를 최신 AMI로 교체하면 이 문제가 해결됩니다.
Kubernetes용 Bottlerocket Update Operator를 사용하는 경우 노드는 1일 이내에 업데이트를 시작하고 모든 노드는 1주일 이내에 업데이트되기 시작할 것입니다. 고객은 두 가지 API 호출, 즉 apiclient set updates.ignore-waves=true 및 apiclient update apply --check --reboot를 통해 수동으로 더 빠르게 업그레이드할 수 있습니다. 업데이트가 완료되면 apiclient set updates.ignore-waves=false를 사용하여 기본 설정으로 되돌립니다.
Amazon Linux 및 Amazon Linux 2
Amazon Linux 2 extras 리포지토리(*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) 및 Amazon Linux AMI 2018.03 리포지토리(*runc-1.0.0-0.2.20210225.git12644e6.3.amzn1*)의 경우 업데이트된 버전의 runc를 이용할 수 있습니다. AWS는 Amazon Linux에서 컨테이너를 사용하는 고객이 최신 버전의 runc로 업데이트하고 실행 중인 모든 컨테이너를 다시 시작할 것을 권장합니다.
AWS Cloud9
업데이트된 AWS Cloud9 환경(Amazon Linux 포함) 버전을 이용할 수 있습니다. 기본적으로 처음 부팅할 때 보안 패치가 적용됩니다. 기존 EC2 기반 AWS Cloud9 환경을 보유한 고객의 경우 최신 AWS Cloud9 버전에서 새 인스턴스를 시작해야 합니다. 자세한 정보는 Amazon Linux 보안 센터(https://alas.aws.amazon.com/)에서 확인하실 수 있습니다.
Amazon Linux로 빌드하지 않은 SSH 환경을 사용하는 AWS Cloud9 고객은 운영 체제 공급업체에 해당 문제 해결에 필요한 업데이트를 문의하세요.
AWS IoT Greengrass
업데이트된 AWS IoT Greengrass Core V1 바이너리 및 Greengrass V2 Lambda Launcher는 6월 15일까지 Greengrass의 최신 버전으로 제공됩니다. 해당 패치가 제공되면 이 공지를 업데이트하겠습니다.
Greengrass는 runC 라이브러리를 사용하여 Greengrass Core 디바이스의 OCI 호환 컨테이너 내에서 Lambda 함수를 실행합니다. Greengrass Core에 배포된 Lambda 함수는 인증된 권한이 있는 클라우드 API, 인증된 권한이 있는 로컬 CLI(활성화된 경우) 또는 로컬 루트 액세스를 통해 Greengrass에 제공됩니다. 즉, Greengrass는 의도한 Lambda 함수만 배포하고 실행하며, Lambda 함수가 신뢰할 수 있는 소스에서 배포되는 한 어떠한 조치도 필요하지 않습니다. 고객은 신뢰할 수 있는 소스에서만 Lambda를 배포해야 합니다.
AWS Deep Learning AMI
Amazon Linux 및 Amazon Linux2용 Deep Learning Base AMI 및 Deep Learning AMI의 업데이트된 버전을 AWS EC2 콘솔 및 AWS Marketplace에서 이용할 수 있습니다. AWS는 Deep Learning Base AMI 또는 Deep Learning AMI와 함께 Docker를 사용해온 고객의 경우 최신 AMI 버전의 새 인스턴스를 시작하도록 권장합니다(Amazon Linux의 Deep Learning Base AMI의 경우 v35.0 이상, Amazon Linux2의 Deep Learning Base AMI의 경우 v38.0 이상, Amazon Linux 및 Amazon Linux2의 Deep Learning Base AMI의 경우 v45.0 이상). 자세한 정보는 Amazon Linux 보안 센터에서 확인하실 수 있습니다.
AWS Batch
AMI 업데이트 후:
업데이트된 Amazon ECS Optimized AMI를 기본 컴퓨팅 환경 AMI 형태로 이용할 수 있습니다. Batch 고객은 기존 컴퓨팅 환경을 이용 가능한 최신 AMI로 교체하는 것이 좋습니다. 컴퓨팅 환경 교체 방법에 관한 지침은 Batch 제품 설명서에서 확인하실 수 있습니다
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments).
기본 AMI를 사용하지 않는 Batch 고객은 운영 체제 공급업체에 해당 문제 해결에 필요한 업데이트를 문의하세요. Batch 사용자 지정 AMI에 대한 지침은 Batch 제품 설명서(https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html)에서 확인할 수 있습니다.
AWS Elastic Beanstalk
업데이트된 AWS Elastic Beanstalk Docker 기반 플랫폼 버전을 이용할 수 있습니다. 고객은 관리형 업데이트 구성 페이지로 이동해 ‘지금 적용’ 버튼을 클릭하여 즉시 업데이트하는 것이 좋습니다. 관리형 플랫폼 업데이트를 활성화하지 않은 고객은 여기에 있는 지침을 따라 해당 환경의 플랫폼 버전을 업데이트할 수 있습니다. 관리형 플랫폼 업데이트를 이용하는 고객의 경우 고객 측에서 별도의 조치를 취하지 않아도 선택한 유지 관리 창에서 최신 플랫폼 버전으로 자동 업데이트됩니다. 릴리스 정보도 제공됩니다.