Идентификатор CVE: CVE-2020-8558

Это обновление для устранения данной проблемы.

AWS известно об обнаруженной недавно сообществом Kubernetes проблеме, которая касается безопасности сети для контейнеров под управлением Linux (CVE-2020-8558). Наличие этой уязвимости позволяет контейнерам, запущенным на одном и том же хосте либо на соседних хостах (работающих в одной и той же локальной сети или имеющих общий домен уровня 2), использовать привязанные к localhost (127.0.0.1) сервисы TCP и UDP.

Все средства управления безопасностью AWS для поддержания изоляции между клиентами в Amazon ECS и Amazon EKS продолжают работать корректно. Эта проблема не представляет угрозы доступа к межаккаунтным данным. Процессы внутри контейнера на одном хосте могут непреднамеренно получить сетевой доступ к другим контейнерам на том же самом хосте или на других хостах, расположенных в той же подсети или на том же VPC. Для решения данной проблемы необходимо вмешательство пользователя: шаги по немедленному устранению этой уязвимости доступны по ссылке https://github.com/aws/containers-roadmap/issues/976. Всем клиентам Amazon ECS и Amazon EKS следует выполнить обновление до последней версии AMI.

AWS Fargate
Проблема не затронула функциональность AWS Fargate. От пользователей не требуется никаких действий.

Amazon Elastic Container Service (Amazon ECS)
Обновленные образы AMI, оптимизированные для Amazon ECS, уже доступны. В качестве общей меры безопасности мы рекомендуем пользователям ECS обновить свои конфигурации и запустить новые инстансы контейнера из AMI последней версии.

Пользователи могут обновить свои образы AMI, сверившись с документацией ECS.

Amazon Elastic Kubernetes Service (Amazon EKS)
Обновленные образы AMI, оптимизированные для Amazon EKS, уже доступны. В качестве общей меры безопасности мы рекомендуем пользователям EKS обновить свои конфигурации и запустить новые рабочие узлы, используя последнюю версию AMI.

Клиенты, использующие управляемые группы узлов, могут обновить свои группы узлов в соответствии с документацией EKS. Клиентам, самостоятельно управляющим рабочими узлами, следует заменить существующие инстансы на новую версию AMI в соответствии с документацией EKS

Идентификатор CVE: CVE-2020-8558

Вы просматриваете предыдущую версию этого бюллетеня по безопасности.

AWS известно об обнаруженной недавно сообществом Kubernetes проблеме, которая касается безопасности сети для контейнеров под управлением Linux (CVE-2020-8558). Наличие этой уязвимости позволяет контейнерам, запущенным на одном и том же либо на соседних хостах (работающих в одной и той же локальной сети или имеющих общий домен уровня 2), использовать привязанные к localhost (127.0.0.1) сервисы TCP и UDP.

Проблема не затронула функциональность AWS Fargate. От пользователей не требуется никаких действий.

Все средства управления безопасностью AWS для поддержания изоляции между клиентами в Amazon ECS и Amazon EKS продолжают работать корректно. Эта проблема не представляет угрозы доступа к межаккаунтным данным. Процессы внутри контейнера на одном хосте могут непреднамеренно получить сетевой доступ к другим контейнерам на том же самом хосте или на других хостах, расположенных в той же подсети или на том же VPC. Для решения данной проблемы необходимо вмешательство пользователя: шаги по немедленному устранению этой уязвимости доступны по ссылке https://github.com/aws/containers-roadmap/issues/976.

Мы выпустим обновленные образы Amazon Machine Image для Amazon ECS и Amazon EKS: клиентам следует выполнить обновление до этой версии AMI, как только она станет доступна.

AWS Fargate
Проблема не затронула сервис AWS Fargate. От пользователей не требуется никаких действий.

Amazon Elastic Container Service (Amazon ECS)
Amazon ECS выпустит обновленные образы AMI, оптимизированные для сервиса ECS (включая AMI Amazon Linux, AMI Amazon Linux 2, AMI с оптимизацией для графического процессора, AMI с оптимизацией для ARM и AMI с оптимизацией для Inferentia), 9 июля 2020 г. Обновление до одного из этих образов AMI поможет решить проблему. Мы обновим этот бюллетень, когда обновленные AMI станут доступны.

Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS выпустит обновленные образы AMI, оптимизированные для сервиса EKS (включая оптимизированный для EKS AMI Amazon Linux 2 и оптимизированный для EKS AMI с ускорением для Kubernetes 1.14, 1.15 и 1.16) 9 июля 2020 г. Обновление до одного из этих образов AMI поможет решить проблему. Мы обновим этот бюллетень, когда обновленные AMI станут доступны.