13 февраля 2019, 21:00 по тихоокеанскому стандартному времени
Идентификатор CVE: CVE-2019-5736
В AWS стало известно о недавно выявленной проблеме безопасности, влияющей на несколько систем управления контейнерами с открытым исходным кодом (CVE-2019-5736). За исключением сервисов AWS, указанных ниже, для решения этой проблемы клиентам не нужно выполнять никаких действий.
Amazon Linux
Обновленная версия Docker (docker-18.06.1ce-7.amzn2) доступна для дополнительных репозиториев Amazon Linux 2 и репозиториев Amazon Linux AMI 2018.03 (ALAS-2019-1156). AWS рекомендует клиентам, использующим Docker в Amazon Linux, запустить новые инстансы из AMI новейшей версии. Дополнительные сведения представлены в Центре безопасности Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Сейчас доступны образы AMI, оптимизированные для Amazon ECS, в частности AMI Amazon Linux, AMI Amazon Linux 2 и AMI, оптимизированный под графический процессор. В качестве общей меры безопасности мы рекомендуем пользователям ECS обновить свои конфигурации и запустить новые инстансы контейнера из AMI последней версии. Клиенты должны заменить существующие инстансы контейнера новой версией AMI для устранения вышеописанной проблемы. Инструкции по замене существующих инстансов контейнеров представлены в документации ECS для AMI Amazon Linux, AMI Amazon Linux 2 и образа AMI, оптимизированного под графический процессор.
Пользователям Linux, не использующим оптимизированный образ AMI ECS, рекомендуется проконсультироваться с поставщиком операционной системы, ПО или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Обновленный образ AMI, оптимизированный для Amazon EKS, доступен в AWS Marketplace. В качестве общей меры безопасности мы рекомендуем пользователям EKS обновить свои конфигурации и запустить новые рабочие узлы из AMI последней версии. Клиенты должны заменить существующие рабочие узлы новой версией AMI для устранения вышеописанной проблемы. Инструкции по обновлению рабочих узлов представлены в документации EKS.
Пользователям Linux, которые не работают с образом AMI, оптимизированным для EKS, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции для Amazon Linux доступны в Центре безопасности Amazon Linux.
AWS Fargate
Обновленная версия Fargate доступна для версии платформы 1.3, в которой частично устранены проблемы, описанные в CVE-2019-5736. Исправления более старых версий платформы (1.0.0, 1.1.0, 1.2.0) будут предоставлены не позднее 15 марта 2019 г.
Клиенты, у которых работают сервисы Fargate, должны вызвать UpdateService с включенным параметром «--force-new-deployment», чтобы запустить все новые задачи на платформе последней версии 1.3. Клиенты, у которых выполняются автономные задачи, должны остановить существующие задачи и перезапустить их в последней версии Fargate. Более подробные инструкции представлены в документации по обновлению Fargate.
Все задачи, не обновленные до исправленной версии, перестанут поддерживаться до 19 апреля 2019 г. Пользователи, которые работают с автономными задачами, должны запустить новые задачи вместо устаревших. Дополнительные сведения представлены в документации по прекращению поддержки задач Fargate.
AWS IoT Greengrass
Для 1.7.1 и 1.6.1 доступны обновленные версии ядра AWS IoT GreenGrass. Для обновленных версий требуются функции, доступные в ядре Linux версии 3.17 или более поздней. Инструкции по обновлению ядра представлены здесь.
В качестве общей меры безопасности мы рекомендуем клиентам, использующим любую версию ядра GreenGrass, выполнить обновление до версии 1.7.1. Инструкции по беспроводному обновлению представлены здесь.
AWS Batch
Обновленный образ AMI, оптимизированный для Amazon ECS, доступен как AMI вычислительной среды по умолчанию. В качестве общей меры безопасности мы рекомендуем пользователям Batch заменить существующие вычислительные среды на новейший доступный образ AMI. Инструкции по замене вычислительной среды представлены в документации на продукт Batch.
Пользователям Batch, которые не работают с образом AMI по умолчанию, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции по созданию собственного образа AMI для Batch представлены в документации на продукт Batch.
AWS Elastic Beanstalk
Доступны обновленные версии платформы AWS Elastic Beanstalk на основе Docker. Для клиентов, использующих управляемые обновления платформы, в следующий запланированный период обслуживания новая версия платформы установится автоматически. Дополнительные действия не требуются. Чтобы обновить платформу немедленно, клиенты могут также перейти на страницу управляемых обновлений и нажать кнопку Apply Now. Пользователи, у которых не настроены управляемые обновления по умолчанию, могут обновить версию платформы, следуя инструкциям на этой странице.
AWS Cloud9
Доступна обновленная версия среды AWS Cloud9 с Amazon Linux. По умолчанию у клиентов будут применены исправления безопасности при первой загрузке. Клиенты, у которых есть среды AWS Cloud9 на основе EC2, должны запустить новые инстансы из последней версии AWS Cloud9. Дополнительные сведения представлены в Центре безопасности Amazon Linux.
Пользователям AWS Cloud9, которые работают со средами SSH, созданными без Amazon Linux, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы.
AWS SageMaker
Доступна обновленная версия Amazon SageMaker. Это не касается клиентов, использующих контейнеры алгоритмов Amazon SageMaker по умолчанию или контейнеры платформы для обучения, настройки, пакетного преобразования или адресов. Это также не касается клиентов, выполняющих задания по маркировке или компиляции. Не касается это и клиентов, не использующих блокноты Amazon SageMaker для работы с контейнерами Docker. Все задания для адресов, маркировки, обучения, настройки, компиляции и пакетной трансформации, запущенные 11 февраля или позже, включают в себя последнее обновление. Действия со стороны клиента не требуются. Все блокноты Amazon SageMaker, запущенные 11 февраля или позже с инстансами ЦП, а также все блокноты Amazon SageMaker, запущенные в 18:00 по тихоокеанскому времени 13 февраля или позже с инстансами графических процессоров, включают последние обновления. Действия со стороны клиента не требуются.
AWS рекомендует клиентам, выполняющим задания по обучению, настройке и пакетной трансформации с пользовательским кодом, созданным до 11 февраля, остановить и затем запустить свои задания, чтобы включить последнее обновление. Эти действия можно выполнить с консоли Amazon SageMaker или следуя инструкциям, приведенным здесь.
Раз в четыре недели Amazon SageMaker автоматически обновляет все используемые адреса, применяя новейшее программное обеспечение. Ожидается, что все адреса, созданные до 11 февраля, будут обновлены до 11 марта. Если возникнут проблемы с автоматическими обновлениями и клиентам понадобится обновить свои адреса, Amazon SageMaker опубликует оповещение на пользовательской панели Personal Health Dashboard. Клиенты, желающие быстрее обновить свои адреса, могут сделать это вручную с консоли Amazon SageMaker или с помощью действия API UpdateEndpoint в любой момент. Мы рекомендуем клиентам, у которых есть адреса с включенным автоматическим масштабированием, принять дополнительные меры предосторожности, выполнив инструкции, приведенные здесь.
AWS рекомендует клиентам, у которых работают контейнеры Docker в блокнотах Amazon SageMaker, остановить и снова запустить свои инстансы блокнотов Amazon SageMaker, чтобы получить новейшее доступное программное обеспечение. Для этого можно воспользоваться консолью Amazon SageMaker. Клиенты могут также сначала остановить инстанс блокнота с помощью API StopNotebookInstance и затем запустить его с помощью API StartNotebookInstance.
AWS RoboMaker
Доступна обновленная версия среды разработки AWS RoboMaker. В новых средах разработки будет использоваться последняя версия. В качестве общей меры безопасности AWS рекомендует клиентам, использующим среды разработки RoboMaker, регулярно обновлять свои среды Cloud9 до последней версии.
Доступна обновленная версия ядра AWS IoT GreenGrass. Все клиенты, использующие RoboMaker Fleet Management, должны обновить ядро GreenGrass до версии 1.7.1. Инструкции по беспроводному обновлению представлены здесь.
AWS Deep Learning AMI
Обновленные версии Deep Learning Base AMI и Deep Learning AMI для Amazon Linux и Ubuntu доступны в AWS Marketplace. AWS рекомендует клиентам, использующим Docker с Deep Learning AMI или Deep Learning Base AMI, запустить новые инстансы последней версии AMI (21.2 или более позднюю для Deep Learning AMI на Amazon Linux и Ubuntu, 16.2 или более позднюю для Deep Learning Base AMI на Amazon Linux и 15.2 или более позднюю для Deep Learning Base AMI на Ubuntu). Дополнительные сведения представлены в Центре безопасности Amazon Linux.