Você está visualizando uma versão anterior deste boletim de segurança. Para consultar a versão mais atual, visite: "Problema de segurança de contêiner (CVE-2019-5736)".

11 de fevereiro de 2019 11:00 PST

Identificador de CVE: CVE-2019-5736

A AWS está ciente do problema de segurança divulgado recentemente, que afeta vários sistemas de gerenciamento de contêineres de código aberto (CVE-2019-5736). Com exceção dos serviços da AWS listados abaixo, nenhuma ação do cliente é necessária para lidar com esse problema.

Amazon Linux

Uma versão atualizada do Docker (docker-18.06.1ce-7.amzn2) está disponível para repositórios extras do Amazon Linux 2 e repositórios do Amazon Linux AMI 2018.03 (ALAS-2019-1156). A AWS recomenda que os clientes que usam o Docker no Amazon Linux iniciem novas instâncias da versão mais recente da AMI. Mais informações estão disponíveis no Centro de Segurança do Amazon Linux.

Amazon Elastic Container Service (Amazon ECS)

As AMIs otimizadas do Amazon ECS, incluindo a Amazon Linux AMI, a Amazon Linux 2 AMI e a AMI otimizada por GPU, já estão disponíveis. Como melhor prática de segurança geral, recomendamos que os clientes do ECS atualizem suas configurações para iniciar novas instâncias de contêiner da versão mais recente da AMI. Os clientes devem substituir as instâncias de contêiner existentes pela nova versão da AMI para solucionar o problema descrito acima. Instruções para substituir instâncias de contêiner existentes podem ser encontradas na documentação do ECS para a Amazon Linux AMI, a Amazon Linux 2 AMI e a AMI otimizada por GPU.

Recomenda-se aos clientes do Linux que não usam a AMI otimizada para o ECS que consultem o fornecedor do sistema operacional, software ou AMI para obter atualizações e instruções, conforme necessário. Instruções sobre o Amazon Linux estão disponíveis no Centro de Segurança do Amazon Linux.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Uma AMI atualizada da AMI Otimizada do Amazon EKS está disponível no AWS Marketplace. Como melhor prática de segurança geral, recomendamos que os clientes do ECS atualizem as suas configurações para iniciar novos nós de trabalho da versão mais recente da AMI. Os clientes devem substituir os nós de trabalho existentes pela nova versão da AMI para solucionar o problema descrito acima. Instruções sobre como atualizar nós do trabalhador podem ser encontradas na documentação do EKS.

Clientes Linux que não usem a AMI Otimizada devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas. Instruções sobre o Amazon Linux estão disponíveis no Centro de Segurança do Amazon Linux.

AWS Fargate

Está disponível uma versão atualizada do Fargate para a versão 1.3 da plataforma, que atenua os problemas descritos em CVE-2019-5736. As versões corrigidas das versões mais antigas da plataforma (1.0.0, 1.1.0, 1.2.0) serão disponibilizadas até 15 de março de 2019.

Os clientes que executam o Fargate Services devem chamar o UpdateService com a opção "--force-new-deployment" ativada para iniciar todas as novas tarefas na última versão da plataforma 1.3. Os clientes que executam tarefas independentes devem encerrar as tarefas existentes e reiniciar usando a versão mais recente. Instruções específicas podem ser encontradas na documentação da atualização do Fargate.

Todas as tarefas que não forem atualizadas para uma versão corrigida serão removidas até 19 de abril de 2019. Os clientes que usam tarefas independentes devem iniciar novas tarefas para substituir as que estão aposentadas. Detalhes adicionais podem ser encontrados na documentação de aposentadoria do Fargate Task.

AWS IoT Greengrass

Versões atualizadas do núcleo do AWS IoT GreenGrass estão disponíveis para 1.7.1 e 1.6.1. As versões atualizadas requerem recursos disponíveis no kernel Linux versão 3.17 ou superior. Instruções sobre como atualizar seu kernel podem ser encontradas aqui.

Como melhor prática de segurança geral, recomendamos que os clientes que executam qualquer versão do núcleo do GreenGrass atualizem para a versão 1.7.1. As instruções para atualização remota podem ser encontradas aqui.

AWS Batch

Uma AMI otimizada do Amazon ECS Optimized está disponível como a AMI padrão do ambiente de computação. Como melhor prática de segurança geral, recomendamos que os clientes do Batch substituam os seus Ambientes de computação existentes pela AMI mais recente disponível. Instruções para substituir o Ambiente de Computação estão disponíveis na documentação de produto do Batch.

Clientes Batch que não usem a AMI padrão devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas. As instruções para a AMI personalizada do Batch estão disponíveis na documentação de produto do Batch.

AWS Elastic Beanstalk

As versões atualizadas da plataforma baseada no AWS Elastic Beanstalk Docker estão disponíveis. Os clientes que usam Atualizações da Plataforma Gerenciada serão atualizados automaticamente para a versão mais recente da plataforma na janela de manutenção selecionada, sem a necessidade realizar alguma ação. Os clientes também podem atualizar imediatamente, acessando a página de configuração Atualizações gerenciadas e clicando no botão “Aplicar agora”. Os clientes que não tiverem a opção Atualizações de plataforma gerenciada habilitada poderão atualizar a versão da plataforma do ambiente conforme as instruções fornecidas aqui.

AWS Cloud9

Está disponível uma versão atualizada do ambiente AWS Cloud9 com o Amazon Linux. Por padrão, os clientes terão correções de segurança aplicadas na primeira inicialização. Os clientes que possuem ambientes AWS Cloud9 baseados em EC2 devem iniciar novas instâncias da versão mais recente do AWS Cloud9. Mais informações estão disponíveis no Centro de Segurança do Amazon Linux.

Clientes da AWS Cloud9 que usem ambientes SSH não criados com o Amazon Linux devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas.

AWS SageMaker

Está disponível uma versão atualizada do Amazon SageMaker. Os clientes que usam os contêineres de algoritmo padrão ou os contêineres de estrutura do Amazon SageMaker para treinamento, ajuste, transformação em lote ou endpoints não são afetados. Os clientes que executam trabalhos de rotulagem ou compilação também não são afetados. Os clientes que não usam os blocos de anotação Amazon SageMaker para executar contêineres Docker não são afetados. Além disso, todos os blocos de anotação Amazon SageMaker lançados a partir de 11 de fevereiro com instâncias de CPU incluem as atualizações mais recentes e nenhuma ação do cliente é necessária. Todos os trabalhos de endpoints, rotulagem, treinamento, ajuste, compilação e transformação em lote lançados a partir de 11 de fevereiro incluem a atualização mais recente e nenhuma ação do cliente é necessária.

A AWS recomenda que os clientes que executam trabalhos de treinamento, ajuste e transformação em lote com código personalizado criado antes de 11 de fevereiro devem parar e iniciar as suas tarefas para incluir a atualização mais recente. Essas ações podem ser executadas no console do Amazon SageMaker ou seguindo as instruções aqui.

O Amazon SageMaker atualiza automaticamente todos os endpoints em serviço para o software mais recente a cada quatro semanas. Todos os endpoints criados antes de 11 de fevereiro devem ser atualizados até 11 de março. Se houver algum problema com as atualizações automáticas e for necessário que os clientes tomem medidas para atualizar os seus endpoints, o Amazon SageMaker publicará uma notificação no Personal Health Dashboard dos clientes. Os clientes que desejam atualizar os seus endpoints mais rapidamente podem atualizar manualmente seus terminais a partir do console do Amazon SageMaker ou usando a ação da API UpdateEndpoint a qualquer momento. Recomendamos que os clientes com endpoints com o dimensionamento automático ativado tomem a precaução adicional de seguir as instruções aqui.

A AWS recomenda que os clientes que executam contêineres Docker nos blocos de anotação Amazon SageMaker que funcionam com instâncias de CPU parem e iniciem as suas instâncias do bloco de anotação Amazon SageMaker para obter o software disponível mais recente. Isso pode ser feito no console do Amazon SageMaker. Como alternativa, os clientes podem primeiro parar a instância do bloco de anotação usando a API StopNotebookInstance e, em seguida, iniciar a instância do bloco de anotação usando a API StartNotebookInstance.

Uma versão atualizada dos blocos de anotação Amazon SageMaker com instâncias de GPU estará disponível para os clientes logo após o lançamento das correções da Nvidia. Este boletim será atualizado quando houver uma versão atualizada disponível. Os clientes que executam contêineres Docker em blocos de anotações com instâncias de GPU podem executar ações preventivas interrompendo temporariamente suas instâncias de bloco de anotações por meio do console ou usando a API StopNotebookInstance e iniciando a instância do bloco de anotações usando StartNotebookInstance quando a versão atualizada estiver disponível.

AWS RoboMaker

Está disponível uma versão atualizada do ambiente de desenvolvimento do AWS RoboMaker. Novos ambientes de desenvolvimento usarão a versão mais recente. Como melhor prática de segurança geral, a AWS recomenda que os clientes que usam os ambientes de desenvolvimento RoboMaker mantenham seus ambientes Cloud9 atualizados para a versão mais recente.

Está disponível uma versão atualizada do núcleo do AWS IoT GreenGrass. Todos os clientes que usam o RoboMaker Fleet Management devem atualizar o núcleo do GreenGrass para a versão 1.7.1. As instruções para o upgrade remoto podem ser encontradas aqui.

AMI do AWS Deep Learning

Versões atualizadas do AMI do Deep Learning Base e do AMI do Deep Learning para Amazon Linux estão disponíveis no AWS Marketplace. A AWS recomenda que os clientes que usaram o Docker com a AMI do Deep Learning ou a AMI do Deep Learning Base iniciem novas instâncias da versão mais recente da AMI (v21.1 para a AMI do Deep Learning e v16.1 para o Deep Learning AMI base no Amazon Linux). Informações adicionais estão disponíveis no Centro de Segurança do Amazon Linux. A AWS também recomenda que os clientes monitorem o Boletim de Segurança da Nvidia para atualizações do nvidia-docker2 e produtos relacionados.

A AWS recomenda que os clientes que usaram o Docker com sua AMI do Deep Learning Base ou AMI do Deep Learning Base no Ubuntu iniciem novas instâncias da versão mais recente da AMI e sigam estas instruções para atualizar o Docker (verifique se todas as etapas de instalação foram seguidas):

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

Essas instruções também atualizarão o nvidia-docker2 automaticamente. Uma versão atualizada do AMI do Deep Learning Base e do AMI do Deep Learning no Ubuntu estará disponível para download após o lançamento de todos as correções de segurança relevantes. Este boletim será atualizado quando as AMIs atualizadas estiverem disponíveis.