공지 ID: AWS-2025-024
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2025년 11월 5일 오전 8시 45분(PDT)

CVE 식별자: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

AWS는 최근 공개된 보안 문제들(CVE-2025-31133, CVE-2025-52565, CVE-2025-52881)이 여러 오픈 소스 컨테이너 관리 시스템의 runc 구성요소에 영향을 미칠 수 있음을 인지하고 있으며, 이 문제는 새로운 컨테이너를 실행할 때 발생할 수 있습니다. AWS는 컨테이너를 보안 경계로 간주하지 않으며, 고객 간 격리를 위해 컨테이너를 사용하지 않습니다. 이 문제들로 인해 고객 간의 교차 위험은 없습니다. 자체적으로 관리하는 환경에서 워크로드를 격리하기 위해 컨테이너를 사용하는 AWS 고객은, 해당 문제로 인해 발생할 수 있는 잠재적 문제를 완화하기 위해 운영 체제 공급업체에 문의하여 필요한 업데이트나 지침을 받는 것이 좋습니다.

아래 목록에 기재된 AWS 서비스를 제외하고는 이 문제를 해결하기 위해 고객이 별도로 조치를 할 필요는 없습니다. 모범 사례로서 AWS는 항상 모든 보안 패치와 소프트웨어 버전 업데이트를 적용할 것을 권장합니다.

Amazon Linux

업데이트된 버전의 runc는 Amazon Linux 2(runc-1.3.2-2.amzn2) 및 Amazon Linux 2023(runc-1.3.2-2.amzn2023.0.1)에서 사용할 수 있습니다. AWS는 Amazon Linux 2 또는 Amazon Linux 2023을 사용하는 고객이 runc 버전을 1.3.2-2 이상으로 업데이트할 것을 권장합니다. 자세한 정보는 Amazon Linux 보안 센터에서 확인하실 수 있습니다.

Bottlerocket

업데이트된 버전의 runc는 2025년 11월 5일에 출시될 Bottlerocket 1.50.0에 포함될 예정입니다. AWS는 Bottlerocket을 사용하는 고객에게 이 업데이트를 적용하도록 권장합니다. 자세한 내용은 Bottlerocket 릴리스 노트에 게시됩니다.

Amazon Elastic Container Service(ECS)

Amazon ECS는 2025년 11월 5일에 Amazon ECS 최적화 Amazon Machine Image(AMI)의 업데이트된 버전(버전 20251031)을 출시할 예정입니다. 이 업데이트 버전에는 새로운 runc 버전(버전 1.3.2-2)이 포함되어 있습니다. EC2 인스턴스에서 ECS를 사용하는 고객은 이러한 최신 AMI로 업데이트하거나 보안 패치를 적용하기 위해 ‘yum update -security’ 명령을 실행하는 것이 좋습니다. 자세한 내용은 'Amazon ECS 최적화 AMI 사용 설명서를 참조하세요.

Amazon ECS Fargate는 2025년 11월 5일 이후에 시작되는 모든 Fargate 작업에 runc의 업데이트된 버전을 자동으로 포함합니다. 고객이 별도로 조치할 필요는 없습니다.

Amazon ECS 관리형 인스턴스는 2025년 11월 5일에 runc의 업데이트된 버전이 포함된 새로운 AMI를 출시할 예정입니다. ECS는 새 작업이 기존 컨테이너 인스턴스에 추가되는 것을 방지합니다. 대신, 모든 새로운 작업은 업데이트된 runc 버전이 포함된 새로운 AMI를 사용하는 신규 컨테이너 인스턴스에 배치됩니다. 고객이 별도로 조치할 필요는 없습니다.

Amazon Elastic Kubernetes Service(EKS)

Amazon EKS는 2025년 11월 5일에 컨테이너 런타임이 패치된 EKS 자동 모드 AMI 업데이트 버전을 출시할 예정입니다. 기본 드리프트 설정으로 구성된 자동 모드 노드 풀은 패치된 AMI 버전으로 자동 업데이트를 시작합니다. 노드 중단 제어 기능이 있는 노드는 최초 실행 후 21일 이내에 패치된 버전으로 업데이트됩니다. 노드를 즉시 업데이트하려면 노드를 삭제하여 즉시 교체할 수 있습니다. 고객은 kubectl get node -o wide 명령을 실행하고 ‘OS 이미지’ 필드를 검사하여 노드가 패치된 AMI에서 실행 중인지 검증할 수 있습니다. 패치된 노드의 날짜는 2025.11.01 이후입니다. 예: Bottlerocket(EKS Auto, Standard) 2025.11.01(aws-k8s-1.34-standard).

Amazon EKS는 2025년 11월 5일에 패치된 컨테이너 런타임이 포함된 EKS 최적화 AL2/AL2023 Amazon Machine Image(AMI)의 업데이트 버전 v20251103을 출시할 예정입니다. EKS Bottlerocket AMI 1.50.0에는 패치된 컨테이너 런타임도 포함되어 있습니다. 관리형 노드 그룹을 사용하는 고객은 EKS 설명서를 참조하여 노드 그룹을 업그레이드할 수 있습니다. Karpenter를 사용하는 고객은 드리프트 또는 AMI 선택에 관한 설명서에 따라 노드를 업데이트할 수 있습니다. 자체 관리형 워커 노드를 사용하는 고객은 EKS 설명서를 참조하여 기존 노드를 교체할 수 있습니다.

Amazon EKS Fargate는 2025년 11월 5일에 신규 또는 기존 클러스터의 새로운 포드에 대해 업데이트를 제공할 예정입니다. 패치된 런타임을 사용하려면 고객이 기존 Amazon EKS Fargate 포드를 삭제해야 합니다. 고객은 kubectl get nodes 명령을 실행하여, Kubelet 버전이 eks-3cfe0ce로 끝나는지 확인함으로써 노드가 패치되었는지 검증할 수 있습니다. Fargate 포드 삭제 및 생성에 대한 자세한 내용은 'Amazon EKS를 사용하여 AWS Fargate 시작하기' 설명서를 참조하세요.

Amazon EKS Anywhere는 2025년 11월 6일에 패치된 runc(버전 1.3.2-2)가 포함된 업데이트된 버전 v0.24.0 및 0.23.5를 출시할 예정입니다. 고객은 패치된 가상 머신 이미지를 사용하도록 클러스터를 업그레이드하는 방법에 대한 EKS Anywhere 클러스터 업그레이드 설명서를 참조할 수 있습니다.

AWS Elastic Beanstalk

업데이트된 AWS Elastic Beanstalk Docker 및 ECS 기반 플랫폼 버전은 2025년 11월 5일에 제공될 예정입니다. 관리형 플랫폼 업데이트를 사용하는 고객은 별도의 조치를 취하지 않아도 선택한 유지 관리 기간에 최신 플랫폼 버전으로 자동 업데이트됩니다. 또한 고객이 바로 관리형 업데이트 구성 페이지로 이동하여 지금 적용 버튼을 클릭하면 즉시 업데이트를 수행할 수도 있습니다. 관리형 플랫폼 업데이트를 활성화하지 않은 고객은 설명서의 지침에 따라 해당 환경의 플랫폼 버전을 업데이트할 수 있습니다.

Finch

최신 릴리스 v1.13.0(2025년 11월 05일)에서 macOS 및 Windows 플랫폼용 Finch에 대한 업데이트된 runc 버전이 제공됩니다. 고객은 이 문제를 해결하려면 macOS 및 Windows에서 Finch 설치를 업그레이드해야 합니다. Finch 릴리스는 프로젝트의 GitHub 릴리스 페이지를 통해 다운로드하거나 Homebrew를 통해 Finch를 설치한 경우 'brew update'를 실행하여 다운로드할 수 있습니다. 업데이트한 후에는 가상 머신을 제거하고 새로 초기화하여 가상 머신을 다시 초기화해야 합니다.

AWS Deep Learning AMI

업데이트된 Amazon Linux 2 및 Amazon Linux 2023 Deep Learning AMI는 2025년 11월 5일에 제공될 예정입니다. 고객은 가능한 경우 최신 AMI 버전으로 업데이트해야 합니다.

AWS Batch

전반적인 보안 모범 사례에 따라 Batch 고객은 최신 AMI가 공개된 후 기존 컴퓨팅 환경을 해당 최신 AMI로 교체하는 것이 좋습니다. 컴퓨팅 환경 교체 방법에 관한 지침은 Batch 제품 설명서에서 확인하실 수 있습니다. 업데이트된 Amazon ECS 및 EKS 최적화 AMI는 기본 컴퓨팅 환경 AMI 형태로 2025년 11월 12일에 제공될 예정입니다.

기본 AMI를 사용하지 않는 Batch 고객은 운영 체제 공급업체에 해당 문제 해결에 필요한 업데이트를 문의하세요. Batch 사용자 지정 AMI에 대한 지침은 Batch 제품 설명서에서 확인하실 수 있습니다.

Amazon SageMaker

22025년 11월 7일 이후에 생성되거나 재시작된 모든 SageMaker 리소스에는 패치된 runc 버전이 자동으로 포함됩니다. 여기에는 SageMaker 노트북 인스턴스, SageMaker 훈련 작업, SageMaker Processing 작업, SageMaker 배치 변환 작업, SageMaker Studio 및 SageMaker 추론이 포함됩니다. AWS는 AWS Deep Learning AMI와 Amazon Linux AMI가 제공되면 2025년 11월 7일 이전에 생성된 기존 SageMaker 리소스에 대한 패치를 시작할 예정입니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.