Вы просматриваете предыдущую версию этого бюллетеня по безопасности. Чтобы ознакомиться с актуальной версией, откройте статью «Проблема безопасности с контейнером (CVE-2019-5736)».
11 февраля 2019 г., 00:00 по тихоокеанскому стандартному времени
Идентификатор CVE: CVE-2019-5736
В AWS стало известно о недавно выявленной проблеме безопасности, влияющей на несколько систем управления контейнерами с открытым исходным кодом (CVE-2019-5736). За исключением сервисов AWS, указанных ниже, для решения этой проблемы клиентам не нужно выполнять никаких действий.
Amazon Linux
Обновленная версия Docker доступна для репозиториев Amazon Linux 2 (ALAS-2019-1156) и Amazon Linux AMI 2018.03 (ALAS-2019-1156). AWS рекомендует клиентам, использующим Docker в Amazon Linux, запустить новые инстансы из AMI новейшей версии. Дополнительные сведения представлены в Центре безопасности Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Сейчас доступны образы AMI, оптимизированные для Amazon ECS, в частности AMI Amazon Linux, AMI Amazon Linux 2 и AMI, оптимизированный под графический процессор. В качестве общей меры безопасности мы рекомендуем пользователям ECS обновить свои конфигурации и запустить новые инстансы контейнера из AMI последней версии. Клиенты должны заменить существующие инстансы контейнера новой версией AMI для устранения вышеописанной проблемы. Инструкции по замене существующих инстансов контейнеров представлены в документации ECS для AMI Amazon Linux, AMI Amazon Linux 2 и образа AMI, оптимизированного под графический процессор.
Пользователям Linux, не использующим оптимизированный образ AMI ECS, рекомендуется проконсультироваться с поставщиками операционных систем, программ или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для Amazon Linux доступны в Центре безопасности Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Обновленный образ AMI, оптимизированный для Amazon EKS, доступен в AWS Marketplace. В качестве общей меры безопасности мы рекомендуем пользователям EKS обновить свои конфигурации и запустить новые рабочие узлы из AMI последней версии. Клиенты должны заменить существующие рабочие узлы новой версией AMI для устранения вышеописанной проблемы. Инструкции по обновлению рабочих узлов представлены в документации EKS.
Клиентам Linux, которые не пользуются образом AMI, оптимизированным для EKS, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции для Amazon Linux доступны в Центре безопасности Amazon Linux.
AWS Fargate
Обновленная версия Fargate доступна для версии платформы 1.3, в которой частично устранены проблемы, описанные в CVE-2019-5736. Исправленные версии более старых версий платформы (1.0.0, 1.1.0, 1.2.0) будут предоставлены не позднее 15 марта 2019 г.
Клиенты, у которых работают сервисы Fargate, должны вызвать UpdateService с включением «--force-new-deployment», чтобы запустить все новые задачи на платформе последней версии 1.3. Клиенты, у которых выполняются автономные задачи, должны остановить существующие задачи и перезапустить их в последней версии Fargate. Более подробные инструкции представлены в документации по обновлению Fargate.
Все задачи, не обновленные до исправленной версии, будут завершены до 19 апреля 2019 г. Пользователи, которые работают с автономными задачами, должны запустить новые задачи вместо устаревших. Дополнительные сведения представлены в документации по прекращению поддержки задач Fargate.
AWS IoT Greengrass
Для 1.7.1 и 1.6.1 доступны обновленные версии ядра AWS IoT GreenGrass. Для обновленных версий требуются функции, доступные в ядре Linux версии 3.17 или более поздней. Инструкции по обновлению ядра представлены здесь.
В качестве общей меры безопасности мы рекомендуем клиентам, использующим любую версию ядра GreenGrass, выполнить обновление до версии 1.7.1. Инструкции по беспроводному обновлению представлены здесь.
AWS Batch
Обновленный образ AMI, оптимизированный для Amazon ECS, доступен как AMI вычислительной среды по умолчанию. В качестве общей меры безопасности мы рекомендуем пользователям Batch заменить существующие вычислительные среды на новейший доступный образ AMI. Инструкции по замене вычислительной среды представлены в документации на продукт Batch.
Пользователям Batch, которые не работают с образом AMI по умолчанию, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции по созданию собственного образа AMI для Batch представлены в документации на продукт Batch.
AWS Elastic Beanstalk
Доступны обновленные версии платформы AWS Elastic Beanstalk на основе Docker. Для клиентов, использующих управляемые обновления платформы, в следующий запланированный период обслуживания новая версия платформы установится автоматически. Дополнительные действия не требуются. Чтобы обновить платформу немедленно, клиенты могут также перейти на страницу управляемых обновлений и нажать кнопку Apply Now. Пользователи, у которых не настроены управляемые обновления по умолчанию, могут обновить версию платформы, следуя инструкциям на этой странице.
AWS Cloud9
Доступна обновленная версия среды AWS Cloud9 с Amazon Linux. По умолчанию у клиентов будут применены исправления безопасности при первой загрузке. Клиенты, у которых есть среды AWS Cloud9 на основе EC2, должны запустить новые инстансы из последней версии AWS Cloud9. Дополнительные сведения представлены в Центре безопасности Amazon Linux.
Пользователям AWS Cloud9, которые работают со средами SSH, созданными без Amazon Linux, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы.
AWS SageMaker
Доступна обновленная версия Amazon SageMaker. Это не касается клиентов, использующих контейнеры алгоритмов Amazon SageMaker по умолчанию или контейнеры платформы для обучения, настройки, пакетного преобразования или адресов. Это также не касается клиентов, выполняющих задания по маркировке или компиляции. Не касается это и клиентов, не использующих блокноты Amazon SageMaker для работы с контейнерами Docker. Кроме того, все блокноты Amazon SageMaker, запущенные 11 февраля или позже с инстансами процессора, включают последние обновления. Действия со стороны клиента не требуются. Все задания для адресов, маркировки, обучения, настройки, компиляции и пакетной трансформации, запущенные 11 февраля или позже, включают в себя последнее обновление. Действия со стороны клиента не требуются.
AWS рекомендует клиентам, выполняющим задания по обучению, настройке и пакетной трансформации с пользовательским кодом, созданным до 11 февраля, остановить и затем запустить свои задания, чтобы включить последнее обновление. Эти действия можно выполнить с консоли Amazon SageMaker или следуя инструкциям, приведенным здесь.
Раз в четыре недели Amazon SageMaker автоматически обновляет все используемые адреса, применяя новейшее программное обеспечение. Ожидается, что все адреса, созданные до 11 февраля, будут обновлены до 11 марта. Если возникнут проблемы с автоматическими обновлениями и клиентам понадобится обновить свои адреса, Amazon SageMaker опубликует оповещение на пользовательской панели Personal Health Dashboard. Клиенты, желающие быстрее обновить свои адреса, могут сделать это вручную с консоли Amazon SageMaker или с помощью действия API UpdateEndpoint в любой момент. Мы рекомендуем клиентам, у которых есть адреса с включенным автоматическим масштабированием, принять дополнительные меры предосторожности, выполнив инструкции, приведенные здесь.
AWS рекомендует клиентам, у которых работают контейнеры Docker в блокнотах Amazon SageMaker с инстансами ЦП, остановить и снова запустить свои инстансы блокнотов Amazon SageMaker, чтобы получить новейшее доступное программное обеспечение. Для этого можно воспользоваться консолью Amazon SageMaker. Клиенты могут также сначала остановить инстанс блокнота с помощью API StopNotebookInstance и затем запустить его с помощью API StartNotebookInstance.
Обновленная версия блокнотов Amazon SageMaker с инстансами графического процессора будет доступна для клиентов вскоре после выпуска исправлений Nvidia. Этот бюллетень будет обновлен, когда станет доступной обновленная версия. Клиенты, у которых работают контейнеры Docker на блокнотах с инстансами графических процессоров, могут принять профилактические меры, временно остановив свои инстансы блокнотов через консоль или с помощью API StopNotebookInstance, а затем запустив инстанс блокнота с помощью StartNotebookInstance, когда появится обновленная версия.
AWS RoboMaker
Обновленная версия среды разработки AWS RoboMaker появится вскоре после выпуска исправлений Canonical и Docker. Когда обновление станет доступным, этот бюллетень будет обновлен. В качестве общей меры безопасности AWS рекомендует клиентам, использующим среды разработки RoboMaker, регулярно обновлять свои среды Cloud9 до последней версии.
Обновленная версия ядра AWS IoT Greengrass будет доступна 11 февраля 2019 г. Когда обновленная версия станет доступной, этот бюллетень будет обновлен. Все клиенты, использующие RoboMaker Fleet Management, должны обновить ядро Greengrass до последней версии, когда она станет доступной. Чтобы получить обновление, клиентам нужно выполнить эти инструкции.
AWS Deep Learning AMI
Обновленные версии Deep Learning Base AMI и Deep Learning AMI для Amazon Linux доступны в AWS Marketplace. AWS рекомендует клиентам, использующим Docker с собственным Deep Learning AMI или Deep Learning Base AMI, запустить новые инстансы на AMI последней версии (Deep Learning AMI версии 21.1 и Deep Learning Base AMI версии 16.1 на Amazon Linux). Дополнительные сведения представлены в Центре безопасности Amazon Linux.
AWS рекомендует клиентам, использующим Docker с Deep Learning AMI или Deep Learning Base AMI на Ubuntu, запустить новые инстансы AMI последней версии и выполнить приведенные инструкции, чтобы обновить Docker (следует обязательно выполнить все этапы установки).
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
Обновленные версии Deep Learning Base AMI и Deep Learning AMI для Ubuntu будут доступны для загрузки после выпуска всех релевантных обновлений безопасности. Мы обновим этот бюллетень, как только станут доступны обновленные версии AMI.
Кроме того, AWS рекомендует клиентам следить за бюллетенем по безопасности от Nvidia, чтобы быть в курсе новостей об nvidia-docker2 и связанных продуктах.