ID do boletim: AWS-2025-024
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 5/11/2025 8:45 PDT

Identificadores CVE: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

A AWS está ciente de vulnerabilidades de segurança recentemente divulgadas que afetam o componente runc de vários sistemas de gerenciamento de contêineres de código aberto (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) quando novos contêineres são iniciados. A AWS não considera contêineres uma barreira de segurança e não os utiliza para isolar os clientes uns dos outros. Esses problemas não afetam outros clientes. É altamente recomendável que os clientes da AWS que utilizam contêineres para isolar workloads em seus próprios ambientes autogerenciados entrem em contato com o fornecedor do sistema operacional para obter atualizações ou instruções necessárias para mitigar quaisquer possíveis preocupações decorrentes desses problemas.

Com exceção dos produtos da AWS listados abaixo, nenhuma ação por parte do cliente é necessária para lidar com esse problema. Como práticas recomendadas, a AWS sempre recomenda que você aplique todos os patches de segurança e atualizações de versão de software.

Amazon Linux

Uma versão atualizada do runc estará disponível para o Amazon Linux 2 (runc-1.3.2-2.amzn2) e para o Amazon Linux 2023 (runc-1.3.2-2.amzn2023.0.1). A AWS recomenda que os clientes que utilizam o Amazon Linux 2 ou o Amazon Linux 2023 atualizem sua versão do runc para, no mínimo, 1.3.2-2. Informações adicionais estão disponíveis no Centro de Segurança do Amazon Linux.

Bottlerocket

Uma versão atualizada do runc está incluída no Bottlerocket 1.50.0, que será lançado em 5 de novembro de 2025. A AWS recomenda que os clientes que usam o Bottlerocket apliquem essa atualização. Informações adicionais serão publicadas nas Notas de lançamento do Bottlerocket.

Amazon Elastic Container Service (ECS)

A Amazon ECS lançará uma versão atualizada das imagens de máquina da Amazon (AMIs) otimizadas para o Amazon ECS em 5 de novembro de 2025 (versão 20251031). Esta versão atualizada inclui uma nova versão do runc (versão 1.3.2-2). Recomendamos que os clientes que utilizam o ECS em instâncias do EC2 atualizem para as AMIs mais recentes ou executem “yum update -security” para obter os patches de segurança. Para obter mais informações, consulte o Guia do usuário da AMI otimizada para Amazon ECS.

O Amazon ECS Fargate incluirá automaticamente uma versão atualizada do runc em todas as tarefas do Fargate iniciadas após 5 de novembro de 2025. Os clientes não precisam tomar nenhuma medida.

As instâncias gerenciadas do Amazon ECS lançarão novas AMIs em 5 de novembro de 2025, com uma versão atualizada do runc. O ECS impedirá que novas tarefas sejam executadas em instâncias de contêiner existentes. Em vez disso, todas as novas tarefas serão colocadas em novas instâncias de contêiner que usarão as novas AMIs com a versão atualizada do runc. Os clientes não precisam tomar nenhuma medida.

Amazon Elastic Kubernetes Service (EKS)

Em 5 de novembro de 2025, o Amazon EKS lançará AMIs atualizadas do modo automático do EKS com um runtime de contêiner corrigido. Os NodePools em modo automático configurados com as definições padrão de desvio começarão automaticamente a atualizar para a versão da AMI corrigida. Os nós com controles de interrupção de nó em vigor serão atualizados para a versão corrigida no prazo de 21 dias após o seu lançamento inicial. Para atualizar seus nós imediatamente, você pode excluí-los, forçando assim uma substituição imediata. Os clientes podem verificar se os nós estão executando uma AMI corrigida executando kubectl get node -o wide e inspecionando o campo “Imagem do sistema operacional”. Os nós que forem corrigidos terão a data de 1/11/2025 ou posterior (por exemplo, Bottlerocket (EKS Auto, Standard) 1/11/2025 (aws-k8s-1.34-standard)).

Em 5 de novembro de 2025, o Amazon EKS lançará as imagens de máquina da Amazon (AMIs) AL2/AL2023 otimizadas para o EKS, versão v20251103, com o runtime do contêiner corrigido. A AMI Bottlerocket 1.50.0 do EKS também contém o runtime do contêiner corrigido. Clientes que usam grupos de nós gerenciados podem atualizá-los consultando a documentação do EKS. Clientes que usam o Karpenter podem atualizar seus nós seguindo a documentação sobre desvio ou seleção de AMI. Clientes que usam nós de processamento autogerenciados podem substituir os nós existentes consultando a documentação do EKS.

O Amazon EKS Fargate disponibilizará uma atualização para novos pods em clusters novos ou existentes em 5 de novembro de 2025. Os clientes devem excluir os pods existentes do Amazon EKS Fargate para usar o runtime corrigido. Os clientes podem verificar se seus nós estão atualizados com a versão do Kubelet que termina em eks-3cfe0ce executando o comando “kubectl get nodes”. Consulte a documentação Conceitos básicos do AWS Fargate usando o Amazon EKS para obter informações sobre como excluir e criar pods do Fargate.

O Amazon EKS Anywhere lançará as versões atualizadas v0.24.0 e 0.23.5 com o runc corrigido (versão 1.3.2-2) em 6 de novembro de 2025. Os clientes podem consultar a documentação do EKS Anywhere sobre como atualizar clusters para usar imagens de VM corrigidas.

AWS Elastic Beanstalk

Versões atualizadas das plataformas baseadas em Docker e ECS do AWS Elastic Beanstalk estarão disponíveis em 5 de novembro de 2025. Os clientes que usam Atualizações de plataformas gerenciadas receberão automaticamente a atualização para a versão mais recente da plataforma na janela de manutenção selecionada e não precisarão fazer nada. Os clientes também podem fazer a atualização imediatamente, acessando a página de configuração Atualizações gerenciadas e clicando no botão “Aplicar agora”. Os clientes que não habilitaram Atualizações de plataformas gerenciadas podem atualizar a versão da plataforma do seu ambiente seguindo as instruções na documentação.

Finch

Uma versão atualizada do runc estará disponível para Finch para plataformas macOS e Windows em 5 de novembro de 2025 na versão mais recente, v1.13.0. Os clientes devem atualizar a instalação do Finch no macOS e no Windows para resolver esse problema. Os lançamentos do Finch podem ser baixados por meio da página de lançamentos do projeto no GitHub ou executando “brew update” caso o Finch tenha sido instalado via Homebrew. Após a atualização, a máquina virtual precisa ser reinicializada por meio da remoção e nova inicialização (init) da máquina virtual.

AMI de aprendizado profundo da AWS

As AMIs atualizadas de aprendizado profundo Amazon Linux 2 e Amazon Linux 2023 estarão disponíveis em 5 de novembro de 2025. Quando disponível, os clientes devem atualizar para a versão mais recente da AMI.

AWS Batch

Como melhor prática de segurança geral, recomendamos que os clientes do Batch substituam os seus Ambientes de computação existentes pela AMI mais recente depois que estiver disponível. Instruções para substituir o Ambiente de computação estão disponíveis na documentação do produto Batch. Uma AMI otimizada para Amazon ECS e EKS atualizada estará disponível em 12 de novembro de 2025 como a AMI padrão do ambiente de computação.

Clientes do Batch que não usam a AMI padrão devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas. Instruções para a AMI personalizada do Batch estão disponíveis na documentação do produto Batch.

Amazon SageMaker

Todos os recursos do SageMaker criados ou reiniciados após 7 de novembro de 2025 incluirão automaticamente a versão corrigida do runc. Isso inclui Instâncias de cadernos do SageMaker, tarefas de treinamento do SageMaker, trabalhos de processamento do SageMaker, trabalhos de transformação em lote do SageMaker, Estúdio SageMaker e inferência do SageMaker. A AWS começará a corrigir os recursos do SageMaker existentes criados antes de 7 de novembro de 2025, assim que a AMI de aprendizado profundo da AWS e as AMIs Amazon Linux estiverem disponíveis.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.