13 de fevereiro de 2019 21:00 PST
Identificador de CVE: CVE-2019-5736
A AWS está ciente do problema de segurança divulgado recentemente, que afeta vários sistemas de gerenciamento de contêineres de código aberto (CVE-2019-5736). Com exceção dos serviços da AWS listados abaixo, nenhuma ação do cliente é necessária para lidar com esse problema.
Amazon Linux
Uma versão atualizada do Docker (docker-18.06.1ce-7.amzn2) está disponível para repositórios extras do Amazon Linux 2 e repositórios do Amazon Linux AMI 2018.03 (ALAS-2019-1156). A AWS recomenda que os clientes que usam o Docker no Amazon Linux iniciem novas instâncias da versão mais recente da AMI. Mais informações estão disponíveis no Centro de Segurança do Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
As AMIs otimizadas do Amazon ECS, incluindo a Amazon Linux AMI, a Amazon Linux 2 AMI e a AMI otimizada por GPU, já estão disponíveis. Como prática geral de segurança geral, recomendamos que os clientes do ECS atualizem suas configurações para iniciar novas instâncias de contêiner da versão mais recente da AMI. Os clientes devem substituir as instâncias de contêiner existentes pela nova versão da AMI para solucionar o problema descrito acima. Instruções para substituir instâncias de contêiner existentes podem ser encontradas na documentação do ECS para a Amazon Linux AMI, a Amazon Linux 2 AMI e a AMI otimizada por GPU.
Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor do sistema operacional, software ou AMI para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Centro de Segurança do Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Uma AMI atualizada da AMI Otimizada do Amazon EKS está disponível no AWS Marketplace. Como prática geral de segurança geral, recomendamos que os clientes do ECS atualizem suas configurações para iniciar novos nós de trabalho da versão mais recente da AMI. Os clientes devem substituir os nós de trabalho existentes pela nova versão da AMI para solucionar o problema descrito acima. Instruções sobre como atualizar nós do trabalhador podem ser encontradas na documentação do EKS.
Clientes LInux que não usem a AMI Otimizada devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas. Instruções sobre o Amazon Linux estão disponíveis no Centro de Segurança do Amazon Linux.
AWS Fargate
Está disponível uma versão atualizada do Fargate para a versão 1.3 da plataforma que atenua os problemas descritos em CVE-2019-5736. As versões corrigidas das versões mais antigas da plataforma (1.0.0, 1.1.0, 1.2.0) serão disponibilizadas até 15 de março de 2019.
Os clientes que executam o Fargate Services devem chamar o UpdateService com a opção "--force-new-deployment" ativada para iniciar todas as novas tarefas na última versão da plataforma 1.3. Os clientes que executam tarefas independentes devem encerrar as tarefas existentes e reiniciar usando a versão mais recente. Instruções específicas podem ser encontradas na documentação da atualização do Fargate.
Todas as tarefas que não forem atualizadas para uma versão corrigida serão removidas até 19 de abril de 2019. Os clientes que usam tarefas independentes devem iniciar novas tarefas para substituir as que estão aposentadas. Detalhes adicionais podem ser encontrados na documentação de aposentadoria do Fargate Task.
AWS IoT Greengrass
Versões atualizadas do núcleo do AWS IoT GreenGrass estão disponíveis para 1.7.1 e 1.6.1. As versões atualizadas requerem recursos disponíveis no kernel Linux versão 3.17 ou superior. Instruções sobre como atualizar seu kernel podem ser encontradas aqui.
Como melhor prática de segurança geral, recomendamos que os clientes que executam qualquer versão do núcleo do GreenGrass atualizem para a versão 1.7.1. As instruções para atualização remota podem ser encontradas aqui.
AWS Batch
Uma AMI otimizada do Amazon ECS Optimized está disponível como a AMI padrão do ambiente de computação. Como melhor prática de segurança geral, recomendamos que os clientes do Batch substituam os seus Ambientes de computação existentes pela AMI mais recente disponível. Instruções para substituir o Ambiente de Computação estão disponíveis na documentação de produto do Batch.
Clientes Batch que não usem a AMI padrão devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas. As instruções para a AMI personalizada do Batch estão disponíveis na documentação de produto do Batch.
AWS Elastic Beanstalk
As versões atualizadas da plataforma baseada no AWS Elastic Beanstalk Docker estão disponíveis. Os clientes que usam Atualizações da Plataforma Gerenciada serão atualizados automaticamente para a versão mais recente da plataforma na janela de manutenção selecionada, sem a necessidade de nenhuma ação. Os clientes também podem atualizar imediatamente, acessando a página de configuração Atualizações gerenciadas e clicando no botão “Aplicar agora”. Os clientes que não tiverem a opção Atualizações de plataforma gerenciada habilitada poderão atualizar a versão da plataforma do ambiente conforme as instruções fornecidas aqui.
AWS Cloud9
Está disponível uma versão atualizada do ambiente AWS Cloud9 com o Amazon Linux. Por padrão, os clientes terão patches de segurança aplicados na primeira inicialização. Os clientes que possuem ambientes AWS Cloud9 baseados em EC2 devem iniciar novas instâncias da versão mais recente do AWS Cloud9. Mais informações estão disponíveis no Centro de Segurança do Amazon Linux.
Clientes da AWS Cloud9 que usem ambientes SSH não criados com o Amazon Linux devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas.
AWS SageMaker
Está disponível uma versão atualizada do Amazon SageMaker. Os clientes que usam os contêineres de algoritmo padrão ou os contêineres de estrutura do Amazon SageMaker para treinamento, ajuste, transformação em lote ou endpoints não são afetados. Os clientes que executem trabalhos de rotulagem ou compilação também não são afetados. Os clientes que não estão usando os notebooks Amazon SageMaker para executar contêineres Docker não são afetados. Todos os trabalhos de endpoints, rotulagem, treinamento, ajuste, compilação e transformação em lote lançados em 11 de fevereiro ou posterior incluem a atualização mais recente, sem a necessidade de ação do cliente. Todos os notebooks Amazon SageMaker lançados em 11 de fevereiro ou posterior com instâncias de CPU e todos os notebooks Amazon SageMaker lançados em 13 de fevereiro 18:00 PT ou posterior com instâncias de GPU incluem as atualizações mais recentes sem a necessidade de ação do cliente.
A AWS recomenda que os clientes que executam trabalhos de treinamento, ajuste e transformação em lote com código personalizado criado antes de 11 de fevereiro parem e iniciem suas tarefas para incluir a atualização mais recente. Essas ações podem ser executadas no console do Amazon SageMaker ou seguindo as instruções aqui.
O Amazon SageMaker atualiza automaticamente todos os endpoints em serviço para o software mais recente a cada quatro semanas. Todos os endpoints criados antes de 11 de fevereiro devem ser atualizados até 11 de março. Se houver algum problema com as atualizações automáticas e for necessário que os clientes tomem medidas para atualizar os seus endpoints, o Amazon SageMaker publicará uma notificação no Personal Health Dashboard dos clientes. Os clientes que desejam atualizar os seus endpoints mais rapidamente podem atualizar manualmente seus terminais a partir do console do Amazon SageMaker ou usando a ação da API UpdateEndpoint a qualquer momento. Recomendamos que os clientes com endpoints com o dimensionamento automático ativado tomem a precaução adicional de seguir as instruções aqui.
A AWS recomenda que os clientes que executam contêineres Docker nos notebooks Amazon SageMaker parem e iniciem suas instâncias do notebook Amazon SageMaker para obter o software disponível mais recente. Isso pode ser feito no console do Amazon SageMaker. Como alternativa, os clientes podem primeiro parar a instância do notebook usando a API StopNotebookInstance e, em seguida, iniciar a instância do notebook usando a API StartNotebookInstance.
AWS RoboMaker
Está disponível uma versão atualizada do ambiente de desenvolvimento do AWS RoboMaker. Novos ambientes de desenvolvimento usarão a versão mais recente. Como melhor prática de segurança geral, a AWS recomenda que os clientes que usam os ambientes de desenvolvimento RoboMaker mantenham seus ambientes Cloud9 atualizados para a versão mais recente.
Está disponível uma versão atualizada do núcleo do AWS IoT GreenGrass. Todos os clientes que usam o RoboMaker Fleet Management devem atualizar o núcleo do GreenGrass para a versão 1.7.1. As instruções para o upgrade remoto podem ser encontradas aqui.
AMI do AWS Deep Learning
Versões atualizadas do AMI do Deep Learning Base e do AMI do Deep Learning para Amazon Linux e Ubuntu estão disponíveis no AWS Marketplace. A AWS recomenda que os clientes que usaram o Docker com a AMI do Deep Learning ou a AMI do Deep Learning Base iniciem novas instâncias da versão mais recente da AMI (v21.2 ou posterior para a AMI do Deep Learning no Amazon Linux e Ubuntu, v16.2 ou posterior para o Deep Learning AMI base no Amazon Linux e v15.2 ou posterior para AMI básica de Deep Learning no Ubuntu). Informações adicionais estão disponíveis no Centro de Segurança do Amazon Linux.