게시일: 2024년 1월 31일 오후 1시 30분(PST)
CVE 식별자: CVE-2024-21626
AWS는 최근 여러 오픈 소스 컨테이너 관리 시스템의 runc 구성 요소에 영향을 미치는 보안 문제(CVE-2024-21626)를 발견했습니다. 아래 목록에 기재된 AWS 서비스를 제외하고는 이 문제를 해결하기 위해 고객이 별도로 조치를 할 필요는 없습니다.
Amazon Linux
업데이트된 버전의 runc는 Amazon Linux 1(runc-1.1.11-1.0.amzn1), Amazon Linux 2(runc-1.1.11-1.amzn2) 및 Amazon Linux 2023(runc-1.1.11-1.amzn2023)에서 사용할 수 있습니다. AWS는 runc 또는 기타 컨테이너 관련 소프트웨어를 사용하는 고객에게 해당 업데이트 또는 최신 버전을 적용하도록 권장합니다. 자세한 정보는 Amazon Linux 보안 센터에서 확인하실 수 있습니다.
Bottlerocket OS
업데이트된 버전의 runc는 2024년 2월 2일에 출시될 Bottlerocket 1.19.0에 포함될 예정입니다. AWS는 Bottlerocket을 사용하는 고객에게 이 업데이트 또는 최신 버전을 적용하도록 권장합니다. 자세한 내용은 Bottlerocket 보안 권고 사항 및 Bottlerocket 릴리스 정보에 게시됩니다.
Amazon Elastic Container Service(Amazon ECS)
이 CVE는 runc에서 패치되었으며, runc의 업데이트 버전인 버전 1.1.11-1은 2024년 1월 31일에 출시된 최신 Amazon ECS Amazon Machine Images(AMI)의 일부로 제공됩니다.
ECS 고객은 이러한 AMI(또는 사용 가능한 최신 AMI)로 업데이트하거나 'yum update —security'를 수행하여 이 패치를 받는 것이 좋습니다. 자세한 내용은 'Amazon ECS 최적화 AMI' 사용 설명서를 참조하세요.
Amazon Elastic Kubernetes Service(Amazon EKS)
Amazon EKS는 패치된 컨테이너 런타임과 함께 업데이트된 EKS 최적화 Amazon Machine Image(AMI) 버전 v20240129를 출시했습니다. 관리형 노드 그룹을 사용하는 고객은 EKS 설명서를 참조하여 노드 그룹을 업그레이드할 수 있습니다. Karpenter를 사용하는 고객은 드리프트 또는 AMI 선택에 관한 설명서에 따라 노드를 업데이트할 수 있습니다. 자체 관리형 워커 노드를 사용하는 고객은 EKS 설명서를 참조하여 기존 노드를 교체할 수 있습니다.
Amazon EKS Fargate는 2024년 2월 1일까지 클러스터의 새 포드에 대한 업데이트가 제공되며, eks-680e576으로 끝나는 Kubelet 버전이 표시됩니다. kubectl get 노드를 실행하면 노드 버전을 확인하실 수 있습니다. 2024년 2월 2일 이후에 패치를 받으려면 기존 포드를 삭제해야 합니다. Fargate 포드 삭제 및 생성에 대한 자세한 내용은 'Amazon EKS를 사용하여 AWS Fargate 시작하기' 설명서를 참조하세요.
Amazon EKS Anywhere는 컨테이너 런타임이 패치된 업데이트 이미지 버전 v0.18.6을 출시했습니다. 고객은 패치된 VM 이미지를 사용하도록 클러스터를 업그레이드하는 방법에 대한 EKS Anywhere '클러스터 업그레이드' 설명서를 참조할 수 있습니다.
AWS Elastic Beanstalk
업데이트된 AWS Elastic Beanstalk Docker 및 ECS 기반 플랫폼 버전을 이용할 수 있습니다. 관리형 플랫폼 업데이트를 사용하는 고객은 별도의 조치를 취하지 않아도 선택한 유지 관리 기간에 최신 플랫폼 버전으로 자동 업데이트됩니다. 관리형 업데이트 구성 페이지로 이동하여 '지금 적용' 버튼을 클릭하면 즉시 업데이트를 수행할 수 있습니다. 관리형 플랫폼 업데이트를 활성화하지 않은 고객은 'Elastic Beanstalk 환경의 플랫폼 버전 업데이트' 사용 설명서에 따라 해당 환경의 플랫폼 버전을 업데이트할 수 있습니다.
Finch
Finch의 최신 릴리스인 v1.1.0에서는 업데이트된 버전의 runc가 제공됩니다. 고객은 이 문제를 해결하려면 macOS에서 Finch 설치를 업그레이드해야 합니다. Finch 릴리스는 프로젝트의 GitHub 릴리스 페이지를 통해 다운로드하거나 Homebrew를 통해 Finch를 설치한 경우 'brew update'를 실행하여 다운로드할 수 있습니다.
AWS Deep Learning AMI
영향을 받는 runc 패키지는 Amazon Linux 2 Deep Learning AMI의 일부입니다. 이 runc 패키지는 업스트림 Amazon Linux 2 릴리스에서 가져옵니다. Deep Learning AMI는 Amazon Linux 팀에서 최신 패치 패키지가 출시되면 자동으로 해당 패키지를 사용합니다. 출시되면 영향을 받는 고객은 최신 Deep Learning AMI를 가져와 최신 runc 업데이트를 사용하여 문제를 완화해야 합니다.
AWS Batch
업데이트된 Amazon ECS Optimized AMI를 기본 컴퓨팅 환경 AMI 형태로 이용할 수 있습니다. 전반적인 보안 모범 사례에 따라 Batch 고객은 기존 컴퓨팅 환경을 최신 AMI로 교체하는 것이 좋습니다. 컴퓨팅 환경 교체 방법에 관한 지침은 Batch 제품 설명서에서 확인하실 수 있습니다.
기본 AMI를 사용하지 않는 Batch 고객은 운영 체제 공급업체에 해당 문제 해결에 필요한 업데이트를 문의하세요. Batch 사용자 지정 AMI에 대한 지침은 Batch 제품 설명서에서 확인하실 수 있습니다.
Amazon SageMaker
2024년 2월 2일 이후에 생성되거나 다시 시작된 SageMaker 노트북 인스턴스, SageMaker 교육 작업, SageMaker 처리 작업, SageMaker 배치 변환 작업, SageMaker Studio 및 SageMaker Inference를 비롯한 모든 SageMaker 리소스는 자동으로 패치를 사용합니다. SageMaker Inference의 경우 재생성되지 않은 모든 라이브 엔드포인트는 2024년 2월 7일까지 자동으로 패치됩니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 알려주시기 바랍니다.