13 กุมภาพันธ์ 2019 21:00 น. PST
ตัวระบุ CVE: CVE-2019-5736
AWS ทราบดีถึงปัญหาด้านความปลอดภัยที่เพิ่งตรวจพบ ซึ่งกระทบระบบการจัดการคอนเทนเนอร์โอเพนซอร์สจำนวนหนึ่ง (CVE-2019-5736) ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เพื่อแก้ไขปัญหาดังกล่าว ยกเว้นแต่สำหรับบริการของ AWS ที่แสดงอยู่ด้านล่างนี้
Amazon Linux
Docker เวอร์ชันที่มีการอัปเดต (docker-18.06.1ce-7.amzn2) พร้อมให้บริการแล้วสำหรับที่เก็บเพิ่มเติมของ Amazon Linux 2 และที่เก็บของ Amazon Linux AMI 2018.03 (ALAS-2019-1156) AWS ขอแนะนำให้ลูกค้าที่ใช้ Docker ใน Amazon Linux เปิดใช้อินสแตนซ์ใหม่จาก AMI เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS Optimized AMI รวมทั้ง Amazon Linux AMI, Amazon Linux 2 AMI และ GPU-Optimized AMI พร้อมให้บริการแล้วในขณะนี้ สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้า ECS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้อินสแตนซ์คอนเทนเนอร์ใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่อินสแตนซ์คอนเทนเนอร์ที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำในการแทนที่อินสแตนซ์คอนเทนเนอร์ที่มีอยู่ได้ในเอกสารประกอบ ECS สำหรับ Amazon Linux AMI, Amazon Linux 2 AMI และ GPU-Optimized AMI
ขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ปรึกษาผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI ของคุณ เพื่อขอรับการอัปเดตและคำแนะนำตามความจำเป็น สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Amazon EKS Optimized AMI ที่มีการอัปเดตพร้อมให้บริการแล้วใน AWS Marketplace สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้า EKS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้โหนดผู้ปฏิบัติงานใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่โหนดผู้ปฏิบัติงานที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตโหนดผู้ปฏิบัติงานได้ในเอกสารประกอบ EKS
ลูกค้า Linux ที่ไม่ได้ใช้ EKS Optimized AMI ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux
AWS Fargate
Fargate เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้วสำหรับแพลตฟอร์มเวอร์ชัน 1.3 ที่แก้ไขปัญหาที่ได้ระบุไว้ใน CVE-2019-5736 เวอร์ชันที่มีการแพตช์ของแพลตฟอร์มเวอร์ชันเก่า (1.0.0, 1.1.0, 1.2.0) จะพร้อมให้บริการภายในวันที่ 15 มีนาคม 2019
ลูกค้าที่ใช้งานบริการของ Fargate ควรเรียกใช้ UpdateService โดยเปิดใช้งาน "--force-new-deployment" เพื่อเปิดใช้งานใหม่ทั้งหมดบนแพลตฟอร์มเวอร์ชัน 1.3 ล่าสุด ลูกค้าที่เรียกใช้งานแบบสแตนด์อโลนควรหยุดงานที่มีอยู่ แล้วเปิดใช้ใหม่ด้วยใช้เวอร์ชันล่าสุด สามารถดูคำแนะนำเฉพาะได้ในเอกสารประกอบการอัปเดต Fargate
งานทั้งหมดที่ไม่ได้อัปเกรดเป็นเวอร์ชันที่มีการแพตช์จะปลดระวางภายในวันที่ 19 เมษายน 2019 ลูกค้าที่ใช้งานแบบสแตนด์อโลนต้องเปิดใช้งานใหม่เพื่อแทนที่งานที่ปลดระวางแล้ว สามารถดูรายละเอียดเพิ่มเติมได้ในเอกสารประกอบ Fargate Task Retirement
AWS IoT Greengrass
AWS IoT GreenGrass Core เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้วสำหรับ 1.7.1 และ 1.6.1 เวอร์ชันที่มีการอัปเดตต้องใช้คุณสมบัติที่มีอยู่ใน เคอร์เนลของ Linux เวอร์ชัน 3.17 ขึ้นไป สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตเคอร์เนลของคุณได้ที่นี่
สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้าที่ใช้งาน GreenGrass Core เวอร์ชันใดก็ตามให้อัปเกรดเป็นเวอร์ชัน 1.7.1 สามารถดูคำแนะนำสำหรับการอัปเดตผ่านทางอากาศได้ที่นี่
AWS Batch
Amazon ECS Optimized AMI ที่มีการอัปเดตพร้อมให้บริการแล้วโดยเป็น Compute Environment AMI เริ่มต้น สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้า Batch แทนที่ Compute Environment ที่มีอยู่ของตนด้วย AMI ที่ใช้งานได้ล่าสุด สามารถดูคำแนะนำสำหรับการเปลี่ยน Compute Environment ได้ในเอกสารประกอบผลิตภัณฑ์ Batch
ลูกค้า Batch ที่ไม่ได้ใช้ AMI เริ่มต้น ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำสำหรับ AMI แบบกำหนดเองของ Batch ได้ในเอกสารประกอบผลิตภัณฑ์ Batch
AWS Elastic Beanstalk
แพลตฟอร์มเวอร์ชันที่ใช้ AWS Elastic Beanstalk Docker ที่มีการอัปเดตพร้อมให้บริการแล้ว ลูกค้าที่ใช้ การอัปเดตแพลตฟอร์มที่มีการจัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในหน้าต่างการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการใดๆ นอกจากนี้ ลูกค้ายังสามารถอัปเดตได้ทันทีโดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ แล้วคลิกที่ปุ่ม "นำไปใช้ทันที" ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการสามารถอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนได้โดยทำตามคำแนะนำที่นี่
AWS Cloud9
สภาพแวดล้อม AWS Cloud9 เวอร์ชันอัปเดตที่มี Amazon Linux พร้อมให้บริการแล้ว ตามค่าเริ่มต้น ลูกค้าจะนำแพตช์ด้านความปลอดภัยมาใช้ในการบูตครั้งแรก ลูกค้าที่มีสภาพแวดล้อม AWS Cloud9 ที่ใช้ EC2 ที่มีอยู่ควรเปิดใช้อินสแตนซ์ใหม่จาก AWS Cloud9 เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
ลูกค้า AWS Cloud9 ที่ใช้สภาพแวดล้อม SSH ที่ไม่ได้สร้างด้วย Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้
AWS SageMaker
Amazon SageMaker เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้ว ลูกค้าที่ใช้คอนเทนเนอร์อัลกอริทึมหรือคอนเทนเนอร์เฟรมเวิร์กตามค่าเริ่มต้นของ Amazon SageMaker สำหรับการฝึกอบรม การปรับแต่ง การแปลงแบตช์ หรือตำแหน่งข้อมูล จะไม่ได้รับผลกระทบ ลูกค้าที่เรียกใช้งานการติดป้ายหรือการคอมไพล์ก็ไม่ได้รับผลกระทบเช่นกัน ลูกค้าที่ไม่ได้ใช้สมุดบันทึก Amazon SageMaker ในการเรียกใช้คอนเทนเนอร์ Docker จะไม่ได้รับผลกระทบ ตำแหน่งข้อมูล งานการติดป้าย การฝึกอบรม การปรับแต่ง การคอมไพล์ และงานแปลงแบตช์ทั้งหมดที่เปิดใช้ในวันที่ 11 กุมภาพันธ์เป็นต้นไป จะรวมถึงการอัปเดตล่าสุดโดยที่ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ สมุดบันทึกของ Amazon SageMaker ทั้งหมดที่เปิดใช้งานในวันที่ 11 กุมภาพันธ์เป็นต้นไปด้วยอินสแตนซ์ CPU และสมุดบันทึกของ Amazon SageMaker ทั้งหมดเปิดใช้งานในวันที่ 13 กุมภาพันธ์ 18:00 PT เป็นต้นไปด้วยอินสแตนซ์ GPU จะรวมถึงการอัปเดตล่าสุดโดยที่ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
AWS ขอแนะนำให้ลูกค้าที่เรียกใช้งานการฝึกอบรม การปรับแต่ง และงานแปลงแบตช์ที่มีโค้ดแบบกำหนดเองที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์ ควรหยุดงานเหล่านั้นและเริ่มต้นงานใหม่เพื่อให้มีการอัปเดตล่าสุดรวมอยู่ด้วย การดำเนินการดังกล่าวสามารถทำได้จากคอนโซล Amazon SageMaker หรือทำตามคำแนะนำที่นี่
Amazon SageMaker จะอัปเดตตำแหน่งข้อมูลทั้งหมดที่กำลังให้บริการให้เป็นซอฟต์แวร์ล่าสุดโดยอัตโนมัติทุกสี่สัปดาห์ คาดว่าตำแหน่งข้อมูลทั้งหมดที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์ น่าจะได้รับการอัปเดตภายในวันที่ 11 มีนาคม หากมีปัญหาใดๆ กับการอัปเดตอัตโนมัติและลูกค้าจำเป็นต้องดำเนินการเพื่ออัปเดตตำแหน่งข้อมูลของตน Amazon SageMaker จะประกาศการแจ้งเตือนใน Personal Health Dashboard ของลูกค้า ลูกค้าที่ต้องการอัปเดตตำแหน่งข้อมูลของตนเร็วกว่านั้น สามารถอัปเดตตำแหน่งข้อมูลของตนได้ด้วยตนเองจากคอนโซล Amazon SageMaker หรือใช้การดำเนินการ UpdateEndpoint API ได้ทุกเวลา เราขอแนะนำให้ลูกค้าที่มีตำแหน่งข้อมูลที่เปิดใช้งานการปรับขยายอัตโนมัติ ใช้ความระมัดระวังเพิ่มเติมล่วงหน้าโดยทำตามคำแนะนำที่นี่
AWS ขอแนะนำให้ลูกค้าที่ใช้งานคอนเทนเนอร์ Docker ในสมุดบันทึก Amazon SageMaker หยุดอินสแตนซ์ของสมุดบันทึก Amazon SageMaker ของตน และเริ่มใหม่เพื่อรับซอฟต์แวร์ที่ใช้งานได้ล่าสุด ซึ่งสามารถทำได้จากคอนโซล Amazon SageMaker หรืออีกวิธีหนึ่ง ลูกค้าสามารถหยุดอินสแตนซ์ของสมุดบันทึกก่อนโดยใช้ StopNotebookInstance API แล้วจึงเริ่มอินสแตนซ์ของสมุดบันทึกโดยใช้ StartNotebookInstance API
AWS RoboMaker
สภาพแวดล้อมการพัฒนา AWS RoboMaker เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้ว สภาพแวดล้อมการพัฒนาใหม่จะใช้เวอร์ชันล่าสุด สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป AWS ขอแนะนำให้ลูกค้าที่ใช้สภาพแวดล้อมการพัฒนา RoboMaker รักษาสภาพแวดล้อม Cloud9 ของตนให้อัปเดตเป็นเวอร์ชันล่าสุด
AWS IoT GreenGrass Core เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้ว ลูกค้าทั้งหมดที่ใช้ RoboMaker Fleet Management ควรอัปเกรด GreenGrass Core เป็นเวอร์ชัน 1.7.1 สามารถดูคำแนะนำสำหรับการอัปเกรดผ่านทางอากาศได้ที่นี่
AWS Deep Learning AMI
Deep Learning Base AMI และ Deep Learning AMI เวอร์ชันที่มีการอัปเดตสำหรับ Amazon Linux และ Ubuntu พร้อมให้บริการแล้วใน AWS Marketplace AWS ขอแนะนำให้ลูกค้าที่เคยใช้ Docker กับ Deep Learning AMI หรือ Deep Learning Base AMI เปิดใช้อินสแตนซ์ใหม่ของ AMI เวอร์ชันล่าสุด (v21.2 เป็นต้นไปสำหรับ Deep Learning AMI และ v16.2 เป็นต้นไปสำหรับ Deep Learning Base AMI บน Amazon Linux และ v15.2 เป็นต้นไปสำหรับ Deep Learning Base AMI บน Ubuntu) สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux