Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Чтобы ознакомиться с актуальной версией, откройте статью Проблема безопасности с контейнером (CVE-2019-5736).
11 февраля 2019 г., 7:00 по тихоокеанскому стандартному времени
Идентификатор CVE: CVE-2019-5736
В AWS стало известно о недавно выявленной проблеме безопасности, влияющей на несколько систем управления контейнерами с открытым исходным кодом (CVE-2019-5736). За исключением сервисов AWS, указанных ниже, для решения этой проблемы клиентам не нужно выполнять никаких действий.
Amazon Linux
Обновленная версия Docker доступна для репозиториев Amazon Linux 2 (ALAS-2019-1156) и Amazon Linux AMI 2018.03 (ALAS-2019-1156). AWS рекомендует клиентам, использующим Docker в Amazon Linux, запустить новые инстансы из AMI новейшей версии. Дополнительные сведения представлены в Центре безопасности Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Обновленные AMI, оптимизированные для Amazon ECS, в том числе AMI Amazon Linux, AMI Amazon Linux 2 и образ AMI, оптимизированный под графический процессор, будут доступны 11 февраля 2019 г. Мы обновим этот бюллетень, когда обновленные AMI станут доступны. В качестве общей меры безопасности мы рекомендуем пользователям ECS обновить свои конфигурации и запустить новые инстансы контейнера из AMI последней версии. Клиенты должны заменить существующие инстансы контейнера новой версией AMI для устранения вышеописанной проблемы. Соответствующие инструкции представлены в документации ECS для AMI Amazon Linux, AMI Amazon Linux 2 и образа AMI, оптимизированного под графический процессор.
Пользователям Linux, которые не работают с оптимизированным образом AMI ECS, рекомендуется проконсультироваться с поставщиками альтернативных/сторонних операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Обновленный AMI, оптимизированный для Amazon EKS, будет доступен 11 февраля 2019 г. Мы обновим этот бюллетень, когда обновленные AMI станут доступны. В качестве общей меры безопасности мы рекомендуем пользователям EKS обновить свои конфигурации и запустить новые рабочие узлы из AMI последней версии. Клиенты должны заменить существующие рабочие узлы новой версией AMI для устранения вышеописанной проблемы. Инструкции по обновлению рабочих узлов представлены в документации EKS.
Пользователям Linux, которые не работают с образом AMI, оптимизированным для EKS, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции для Amazon Linux доступны в Центре безопасности Amazon Linux.
AWS Fargate
Обновленная версия Fargate доступна для версии платформы 1.3, в которой частично устранены проблемы, описанные в CVE-2019-5736. Исправления более старых версий платформы (1.0.0, 1.1.0, 1.2.0) будут предоставлены не позднее 15 марта 2019 г.
Клиенты, у которых работают сервисы Fargate, должны вызвать UpdateService с включенным параметром «--force-new-deployment», чтобы запустить все новые задачи на платформе последней версии 1.3. Клиенты, у которых выполняются автономные задачи, должны остановить существующие задачи и перезапустить их в последней версии Fargate. Более подробные инструкции представлены в документации по обновлению Fargate.
Все задачи, не обновленные до исправленной версии, перестанут поддерживаться до 19 апреля 2019 г. Пользователи, которые работают с автономными задачами, должны запустить новые задачи вместо устаревших. Дополнительные сведения представлены в документации по прекращению поддержки задач Fargate.
AWS IoT Greengrass
Обновленные версии ядра AWS IoT Greengrass будут доступны 11 февраля 2019 г. Мы обновим этот бюллетень, как только исправленные версии станут доступными. Для обновленных версий требуются функции, доступные в ядре Linux версии 3.17 или более поздней. Инструкции по обновлению ядра представлены здесь.
В качестве общей меры безопасности мы рекомендуем клиентам, использующим любую версию ядра GreenGrass, выполнить обновление до версии 1.7.1. Инструкции по беспроводному обновлению представлены здесь.
AWS Batch
Обновленный AMI, оптимизированный для Amazon ECS, будет доступен 11 февраля 2019 г. как AMI для вычислительной среды по умолчанию. Мы обновим этот бюллетень, как только образ AMI станет доступным. В качестве общей меры безопасности мы рекомендуем клиентам Batch заменить существующие вычислительные среды на новейший доступный образ AMI, когда он станет доступным. Если пользователю Batch понадобится выполнить обновление немедленно, рекомендуется заменить AMI по умолчанию на новейший AMI, оптимизированный для ECS, при создании вычислительной среды. Инструкции по замене вычислительной среды представлены в документации на продукт Batch.
Пользователям Batch, которые не работают с образом AMI по умолчанию, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции по созданию собственного образа AMI для Batch представлены в документации на продукт Batch.
AWS Elastic Beanstalk
Обновленные платформы AWS Elastic Beanstalk на основе Docker будут доступны 11 февраля 2019 г. Этот бюллетень будет обновлен, как только появятся новые версии платформы. Для клиентов, использующих управляемые обновления платформы, в следующий запланированный период обслуживания новая версия платформы установится автоматически. Дополнительные действия не требуются. Чтобы обновить платформу немедленно, клиенты могут также перейти на страницу управляемых обновлений и нажать кнопку Apply Now. Пользователи, у которых не настроены управляемые обновления по умолчанию, могут обновить версию платформы, следуя инструкциям на этой странице.
AWS Cloud9
Доступна обновленная версия среды AWS Cloud9 с Amazon Linux. По умолчанию у клиентов будут применены исправления безопасности при первой загрузке. Клиенты, у которых есть среды AWS Cloud9 на основе EC2, должны запустить новые инстансы из последней версии AWS Cloud9. Дополнительные сведения представлены в Центре безопасности Amazon Linux.
Пользователям AWS Cloud9, которые работают со средами SSH, созданными без Amazon Linux, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы.
AWS SageMaker
Доступна обновленная версия Amazon SageMaker. Это не касается клиентов, использующих контейнеры алгоритмов Amazon SageMaker по умолчанию или контейнеры платформы для обучения, настройки, пакетного преобразования или адресов. Это также не касается клиентов, выполняющих задания по маркировке или компиляции. Не касается это и клиентов, не использующих блокноты Amazon SageMaker для работы с контейнерами Docker. Кроме того, все блокноты Amazon SageMaker, запущенные 11 февраля или позже с инстансами процессора, включают последние обновления. Действия со стороны клиента не требуются. Все задания для адресов, маркировки, обучения, настройки, компиляции и пакетной трансформации, запущенные 11 февраля или позже, включают в себя последнее обновление. Действия со стороны клиента не требуются.
AWS рекомендует клиентам, выполняющим задания по обучению, настройке и пакетной трансформации с пользовательским кодом, созданным до 11 февраля, остановить и затем запустить свои задания, чтобы включить последнее обновление. Эти действия можно выполнить с консоли Amazon SageMaker или следуя инструкциям, приведенным здесь.
Раз в четыре недели Amazon SageMaker автоматически обновляет все используемые адреса, применяя новейшее программное обеспечение. Ожидается, что все адреса, созданные до 11 февраля, будут обновлены до 11 марта. Если возникнут проблемы с автоматическими обновлениями и клиентам понадобится обновить свои адреса, Amazon SageMaker опубликует оповещение на пользовательской панели Personal Health Dashboard. Клиенты, желающие быстрее обновить свои адреса, могут сделать это вручную с консоли Amazon SageMaker или с помощью действия API UpdateEndpoint в любой момент. Мы рекомендуем клиентам, у которых есть адреса с включенным автоматическим масштабированием, принять дополнительные меры предосторожности, выполнив инструкции, приведенные здесь.
AWS рекомендует клиентам, у которых работают контейнеры Docker в блокнотах Amazon SageMaker с инстансами ЦП, остановить и снова запустить свои инстансы блокнотов Amazon SageMaker, чтобы получить новейшее доступное программное обеспечение. Для этого можно воспользоваться консолью Amazon SageMaker. Клиенты могут также сначала остановить инстанс блокнота с помощью API StopNotebookInstance и затем запустить его с помощью API StartNotebookInstance.
Обновленная версия блокнотов Amazon SageMaker с инстансами графического процессора будет доступна для клиентов вскоре после выпуска исправлений NVIDIA. Этот бюллетень будет обновлен, когда станет доступной обновленная версия. Клиенты, у которых работают контейнеры Docker на блокнотах с инстансами графических процессоров, могут принять профилактические меры, временно остановив свои инстансы блокнотов через консоль или с помощью API StopNotebookInstance, а затем запустив инстанс блокнота с помощью StartNotebookInstance, когда появится обновленная версия.
AWS RoboMaker
Обновленная версия среды разработки AWS RoboMaker появится вскоре после выпуска исправлений Canonical и Docker. Когда обновление станет доступным, этот бюллетень будет обновлен. В качестве общей меры безопасности AWS рекомендует клиентам, использующим среды разработки RoboMaker, регулярно обновлять свои среды Cloud9 до последней версии.
Обновленная версия ядра AWS IoT Greengrass будет доступна 11 февраля 2019 г. Когда обновленная версия станет доступной, этот бюллетень будет обновлен. Все клиенты, использующие RoboMaker Fleet Management, должны обновить ядро Greengrass до последней версии, когда она станет доступной. Чтобы получить обновление, клиентам нужно выполнить эти инструкции.
AWS Deep Learning AMI
AWS рекомендует клиентам, использующим Docker с собственным Deep Learning AMI или Deep Learning Base AMI на Amazon Linux, запустить новые инстансы на AMI последней версии и выполнить для обновления Docker следующую команду:
sudo yum upgrade docker
Обновленные версии Deep Learning Base AMI и Deep Learning AMI будут доступны для загрузки после выпуска всех релевантных обновлений безопасности. Мы обновим этот бюллетень, как только станут доступны новые версии AMI.
Дополнительные сведения представлены в Центре безопасности Amazon Linux.
После выпуска обновлений Docker на Ubuntu для устранения проблем, описанных в CVE-2019-5736, AWS рекомендует клиентам, использующим Docker с Deep Learning AMI или Deep Learning Base AMI на Ubuntu, запустить новые инстансы AMI последней версии и выполнить приведенные инструкции, чтобы обновить Docker (следует обязательно выполнить все этапы установки):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
Кроме того, AWS рекомендует клиентам следить за бюллетенем по безопасности от NVIDIA, чтобы быть в курсе новостей об nvidia-docker2 и связанных продуктах.