Identificador de CVE: CVE-2020-8558
Esta é uma atualização para o problema.
A AWS está ciente de um problema de segurança, divulgado recentemente pela comunidade do Kubernetes, que afeta a rede de contêineres Linux (CVE-2020-8558). Esse problema pode permitir que contêineres executados no mesmo host ou hosts adjacentes (hosts executados na mesma LAN ou domínio da camada 2) acessem serviços TCP e UDP vinculados ao localhost (127.0.0.1).
Todos os controles de segurança da AWS para manter o isolamento entre clientes no Amazon ECS e Amazon EKS continuam a funcionar corretamente. O problema não apresenta risco de acesso a dado entre contas. Os processos dentro de um contêiner em um host podem obter acesso de rede não intencional a outros contêineres nesse mesmo host ou em outros hosts dentro da mesma VPC e sub-rede. É necessária uma ação por parte do cliente e as etapas para mitigação imediata estão disponíveis em https://github.com/aws/containers-roadmap/issues/976. Todos os clientes do Amazon ECS e do Amazon EKS devem fazer a atualização para a AMI mais recente.
AWS Fargate
O AWS Fargate não é afetado. O usuário não precisa executar nenhuma ação.
Amazon Elastic Container Service (Amazon ECS)
AMIs otimizadas para Amazon ECS atualizadas estão disponíveis agora. Como melhor prática de segurança geral, recomendamos que os clientes do ECS atualizem suas configurações para iniciar novas instâncias de contêiner da versão mais recente da AMI.
Os clientes podem atualizar suas AMIs fazendo referência à documentação do ECS.
Amazon Elastic Kubernetes Service (Amazon EKS)
AMIs otimizadas para Amazon EKS atualizadas já estão disponíveis. Como melhor prática de segurança geral, recomendamos que os clientes do EKS atualizem as suas configurações para iniciar novos nós de trabalho da versão mais recente da AMI.
Os clientes que usam grupos de nós gerenciados podem atualizar seus grupos de nós fazendo referência à documentação do EKS. Os clientes que gerenciam eles próprios os nós operadores devem substituir as instâncias existentes pela nova versão da AMI fazendo referência à documentação do EKS.
Identificador de CVE: CVE-2020-8558
Você está visualizando uma versão anterior deste boletim de segurança.
A AWS está ciente de um problema de segurança, divulgado recentemente pela comunidade do Kubernetes, que afeta a rede de contêineres Linux (CVE-2020-8558). Esse problema pode permitir que contêineres executados no mesmo host ou hosts adjacentes (hosts executados na mesma LAN ou domínio da camada 2) acessem serviços TCP e UDP vinculados ao localhost (127.0.0.1).
O AWS Fargate não é afetado. O usuário não precisa executar nenhuma ação.
Todos os controles de segurança da AWS para manter o isolamento entre clientes no Amazon ECS e Amazon EKS continuam a funcionar corretamente. O problema não apresenta risco de acesso a dado entre contas. Os processos dentro de um contêiner em um host podem obter acesso de rede não intencional a outros contêineres nesse mesmo host ou em outros hosts dentro da mesma VPC e sub-rede. É necessária uma ação por parte do cliente e as etapas para mitigação imediata estão disponíveis em https://github.com/aws/containers-roadmap/issues/976
Estaremos liberando Amazon Machine Images atualizadas tanto para o Amazon ECS quanto para o Amazon EKS. Os clientes devem fazer a atualização para essas AMIs assim que elas estiverem disponíveis.
AWS Fargate
O AWS Fargate não é afetado. O usuário não precisa executar nenhuma ação.
Amazon Elastic Container Service (Amazon ECS)
O Amazon ECS liberou AMIs otimizadas do ECS atualizadas, inclusive a AMI do Amazon Linux, a AMI do Amazon Linux 2, a AMI otimizada para GPU, a AMI otimizada para ARM e a AMI otimizada para Inferentia em 9 de julho de 2020. A atualização para usar uma dessas AMIs mitigará o problema. Atualizaremos este boletim quando houver AMIs atualizadas disponíveis.
Amazon Elastic Kubernetes Service (Amazon EKS)
O Amazon EKS liberou AMIs otimizadas para EKS atualizadas, inclusive a AMI otimizada para EKS do Amazon Linux 2 e a AMI acelerada otimizada para EKS para o Kubernetes 1.14, 1.15 e 1.16 em 9 de julho de 2020. A atualização para usar uma dessas AMIs mitigará o problema. Atualizaremos este boletim quando houver AMIs atualizadas disponíveis.