Data de publicação: 31/01/2024 13:30 PST
Identificador CVE: CVE-2024-21626
A AWS está ciente de um problema de segurança recém-divulgado que afeta o componente runc de vários sistemas de gerenciamento de contêineres de código aberto (CVE-2024-21626). Com exceção dos produtos da AWS listados abaixo, nenhuma ação do cliente é necessária para lidar com esse problema.
Amazon Linux
Uma versão atualizada do runc está disponível para o Amazon Linux 1 (runc-1.1.11-1.0.amzn1), o Amazon Linux 2 (runc-1.1.11-1.amzn2) e o Amazon Linux 2023 (runc-1.1.11-1.amzn2023). A AWS recomenda que os clientes que usam o runc ou outro software relacionado a contêineres apliquem essas atualizações ou uma versão mais recente. Informações adicionais estão disponíveis no Centro de Segurança do Amazon Linux.
Sistema operacional Bottlerocket
Uma versão atualizada do runc será incluída no Bottlerocket 1.19.0, que será lançado em 2 de fevereiro de 2024. A AWS recomenda que os clientes que usam o Bottlerocket apliquem essa atualização ou uma versão mais recente. Informações adicionais serão publicadas nos Comunicados de segurança do Bottlerocket e nas Notas de lançamento do Bottlerocket.
Amazon Elastic Container Service (ECS)
Essa CVE foi corrigida no runc, e uma versão atualizada do runc (versão 1.1.11-1) está disponível como parte das mais recentes Imagens de máquina da Amazon (AMIs) otimizadas para o Amazon ECS, lançadas em 31 de janeiro de 2024.
Recomendamos que os clientes do ECS atualizem essas AMIs (ou as AMIs mais recentes disponíveis) ou realizem uma “atualização de segurança do yum” para obter esse patch. Consulte o guia do usuário “AMI otimizada para o Amazon ECS” para obter informações adicionais.
Amazon Elastic Kubernetes Services (EKS)
O Amazon EKS lançou a versão v20240129 atualizada das Imagens de máquina da Amazon (AMIs) otimizadas para o EKS com o runtime de contêiner corrigido. Clientes que usam grupos de nós gerenciados podem atualizá-los consultando a documentação do EKS. Clientes que usam o Karpenter podem atualizar seus nós seguindo a documentação sobre desvio ou seleção de AMI. Clientes que usam nós de trabalho autogerenciáveis podem substituir os nós existentes consultando a documentação do EKS.
O Amazon EKS Fargate terá uma atualização disponível para novos pods em clusters até 1º de fevereiro de 2024 e exibirá uma versão do Kubelet que termina em eks-680e576. Os clientes podem verificar a versão de seus nós executando “kubectl get nodes”. Os clientes deverão excluir seus pods existentes para receber o patch depois de 2 de fevereiro de 2024. Consulte a documentação “Getting started with AWS Fargate using Amazon EKS” para obter informações sobre como excluir e criar pods do Fargate.
O Amazon EKS Anywhere lançou imagens atualizadas da versão v0.18.6 com o runtime do contêiner corrigido. Os clientes podem consultar a documentação “Upgrade cluster” do EKS Anywhere sobre como atualizar clusters para usar imagens de VM corrigidas.
AWS Elastic Beanstalk
Estão disponíveis versões atualizadas da plataforma baseada no AWS Elastic Beanstalk Docker e no ECS. Os clientes que usam Atualizações de plataformas gerenciadas receberão automaticamente a atualização para a versão mais recente da plataforma na janela de manutenção selecionada e não precisarão fazer nada. Os clientes também podem atualizar imediatamente, acessando a página de configuração de Atualizações gerenciadas e clicando no botão “Aplicar agora”. Os clientes que não tiverem habilitado as Atualizações de plataformas gerenciadas poderão atualizar a versão da plataforma de seus ambientes seguindo o guia do usuário “Atualizar a versão da plataforma do ambiente Elastic Beanstalk”.
Finch
Uma versão atualizada do runc está disponível para o Finch na versão mais recente, v1.1.0. Os clientes devem atualizar a instalação do Finch no macOS para resolver esse problema. Os lançamentos do Finch podem ser baixados por meio da página de lançamentos do projeto no GitHub ou executando “brew update” caso o Finch tenha sido instalado via Homebrew.
AMI de aprendizado profundo da AWS
O pacote runc afetado faz parte da nossa AMI de aprendizado profundo do Amazon Linux 2. Esse pacote runc foi extraído dos lançamentos anteriores do Amazon Linux 2. A AMI de aprendizado profundo consumirá automaticamente o pacote corrigido mais recente assim que ele for disponibilizado pela Equipe do Amazon Linux. Após o lançamento, os clientes afetados precisarão obter a AMI de aprendizado profundo mais recente para consumir as atualizações mais recentes do runc e mitigar o problema.
AWS Batch
Uma AMI otimizada do Amazon ECS atualizada como AMI padrão do ambiente de computação está disponível. Como melhor prática de segurança geral, recomendamos que os clientes do Batch substituam os seus Ambientes de computação existentes pela AMI mais recente. Instruções para substituir o Ambiente de computação estão disponíveis na documentação de produto do Batch.
Clientes do Batch que não usam a AMI padrão devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas. Instruções para a AMI personalizada do Batch estão disponíveis na documentação de produto do Batch.
Amazon SageMaker
Todos os recursos do SageMaker, incluindo instâncias de caderno do SageMaker, trabalhos de treinamento do SageMaker, trabalhos de processamento do SageMaker, trabalhos de transformação em lote do SageMaker, SageMaker Studio e SageMaker Inference, criados ou reiniciados após 2 de fevereiro de 2024, usarão automaticamente o patch. Para o SageMaker Inference, todos os endpoints ativos que não foram recriados serão corrigidos automaticamente até 7 de fevereiro de 2024.
Envie suas dúvidas ou preocupações sobre segurança para aws-security@amazon.com.