คุณกำลังดูเวอร์ชันก่อนหน้าของกระดานข่าวความปลอดภัยนี้ สำหรับเวอร์ชันล่าสุด กรุณาไปที่: "ปัญหาด้านความปลอดภัยของคอนเทนเนอร์ (CVE-2019-5736)"
11 กุมภาพันธ์ 2019 7:00 น. PST
ตัวระบุ CVE: CVE-2019-5736
AWS ทราบดีถึงปัญหาด้านความปลอดภัยที่เพิ่งตรวจพบ ซึ่งกระทบระบบการจัดการคอนเทนเนอร์โอเพนซอร์สจำนวนหนึ่ง (CVE-2019-5736) ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เพื่อแก้ไขปัญหาดังกล่าว ยกเว้นแต่สำหรับบริการของ AWS ที่แสดงอยู่ด้านล่างนี้
Amazon Linux
Docker เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้วสำหรับ Amazon Linux 2 (ALAS-2019-1156) และที่เก็บของ Amazon Linux AMI 2018.03 (ALAS-2019-1156) AWS ขอแนะนำให้ลูกค้าที่ใช้ Docker ใน Amazon Linux เปิดใช้อินสแตนซ์ใหม่จาก AMI เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS Optimized AMI ที่มีการอัปเดต รวมทั้ง Amazon Linux AMI, Amazon Linux 2 AMI และ GPU-Optimized AMI จะพร้อมให้ใช้งานในวันที่ 11 กุมภาพันธ์ 2019 เราจะอัปเดตกระดานข่าวนี้เมื่อ AMI ที่อัปเดตใหม่พร้อมให้ใช้งานแล้ว สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้า ECS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้อินสแตนซ์คอนเทนเนอร์ใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่อินสแตนซ์คอนเทนเนอร์ที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำในการดำเนินการดังกล่าวได้ในเอกสารประกอบ ECS สำหรับ Amazon Linux AMI, Amazon Linux 2 AMI และ GPU-Optimized AMI
เราขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ ECS Optimized AMI ติดต่อผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI อื่นๆ/ของบริษัทอื่นเพื่อขอการอัปเดตและคำแนะนำที่ต้องการ สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Amazon EKS Optimized AMI ที่มีการอัปเดตจะพร้อมให้บริการในวันที่ 11 กุมภาพันธ์ 2019 เราจะอัปเดตกระดานข่าวนี้เมื่อ AMI ที่อัปเดตใหม่พร้อมให้ใช้งานแล้ว สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้า EKS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้โหนดผู้ปฏิบัติงานใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่โหนดผู้ปฏิบัติงานที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตโหนดผู้ปฏิบัติงานได้ในเอกสารประกอบ EKS
ลูกค้า Linux ที่ไม่ได้ใช้ EKS Optimized AMI ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux
AWS Fargate
Fargate เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้วสำหรับ Platform Version 1.3 ที่แก้ไขปัญหาที่ได้ระบุไว้ใน CVE-2019-5736 เวอร์ชันที่มีการแพตช์ของ Platform Version เก่า (1.0.0, 1.1.0, 1.2.0) จะพร้อมให้บริการภายในวันที่ 15 มีนาคม 2019
ลูกค้าที่ใช้งาน Fargate Services ควรเรียกใช้ UpdateService โดยเปิดใช้งาน "--force-new-deployment" เพื่อเปิดใช้งาน Task ใหม่ทั้งหมดบน Platform Version 1.3 ล่าสุด ลูกค้าที่เรียกใช้งานแบบสแตนด์อโลนควรหยุดงานที่มีอยู่ แล้วเปิดใช้ใหม่ด้วยใช้เวอร์ชันล่าสุด สามารถดูคำแนะนำเฉพาะได้ในเอกสารประกอบการอัปเดต Fargate
งานทั้งหมดที่ไม่ได้อัปเกรดเป็นเวอร์ชันที่มีการแพตช์จะปลดระวางภายในวันที่ 19 เมษายน 2019 ลูกค้าที่ใช้งานแบบสแตนด์อโลนต้องเปิดใช้งานใหม่เพื่อแทนที่งานที่ปลดระวางแล้ว สามารถดูรายละเอียดเพิ่มเติมได้ในเอกสารประกอบ Fargate Task Retirement
AWS IoT Greengrass
AWS IoT Greengrass Core เวอร์ชันที่มีการอัปเดตจะพร้อมให้บริการในวันที่ 11 กุมภาพันธ์ 2019 กระดานข่าวนี้จะได้รับการอัปเดตเมื่อเวอร์ชันที่มีการแพตช์พร้อมให้บริการ เวอร์ชันที่มีการอัปเดตต้องใช้คุณสมบัติที่มีอยู่ใน เคอร์เนลของ Linux เวอร์ชัน 3.17 ขึ้นไป สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตเคอร์เนลของคุณได้ที่นี่
สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้าที่ใช้งาน Greengrass Core เวอร์ชันใดก็ตามให้อัปเกรดเป็นเวอร์ชัน 1.7.1 สามารถดูคำแนะนำสำหรับการอัปเดตผ่านทางอากาศได้ที่นี่
AWS Batch
Amazon ECS Optimized AMI ที่มีการอัปเดตจะพร้อมให้บริการในวันที่ 11 กุมภาพันธ์ 2019 โดยเป็น Compute Environment AMI เริ่มต้น กระดานข่าวนี้จะได้รับการอัปเดตเมื่อ AMI ใช้งานได้แล้ว สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป เราขอแนะนำให้ลูกค้า Batch แทนที่ Compute Environment ที่มีอยู่ของตนด้วย AMI ล่าสุดหลังพร้อมให้บริการ หากลูกค้าของ Batch จำเป็นต้องอัปเดตทันที เราขอแนะนำให้แทนที่ AMI เริ่มต้นด้วย ECS Optimized AMI ล่าสุดเมื่อสร้าง Compute Environment สามารถดูคำแนะนำสำหรับการเปลี่ยน Compute Environment ได้ในเอกสารประกอบผลิตภัณฑ์ Batch
ลูกค้า Batch ที่ไม่ได้ใช้ AMI เริ่มต้น ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำสำหรับ AMI แบบกำหนดเองของ Batch ได้ในเอกสารประกอบผลิตภัณฑ์ Batch
AWS Elastic Beanstalk
แพลตฟอร์มเวอร์ชันที่ใช้ AWS Elastic Beanstalk Docker ที่มีการอัปเดตจะพร้อมให้บริการในวันที่ 11 กุมภาพันธ์ 2019 กระดานข่าวนี้จะได้รับการอัปเดตเมื่อแพลตฟอร์มเวอร์ชันใหม่พร้อมใช้งานแล้ว ลูกค้าที่ใช้ การอัปเดตแพลตฟอร์มที่จัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในหน้าต่างการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการใดๆ นอกจากนี้ ลูกค้ายังสามารถอัปเดตได้ทันทีโดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ แล้วคลิกที่ปุ่ม "นำไปใช้ทันที" ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่จัดการสามารถอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนได้โดยทำตามคำแนะนำที่นี่
AWS Cloud9
สภาพแวดล้อม AWS Cloud9 เวอร์ชันอัปเดตที่มี Amazon Linux พร้อมให้บริการแล้ว ตามค่าเริ่มต้น ลูกค้าจะนำแพตช์ด้านความปลอดภัยมาใช้ในการบูตครั้งแรก ลูกค้าที่มีสภาพแวดล้อม AWS Cloud9 ที่ใช้ EC2 ที่มีอยู่ควรเปิดใช้อินสแตนซ์ใหม่จาก AWS Cloud9 เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
ลูกค้า AWS Cloud9 ที่ใช้สภาพแวดล้อม SSH ที่ไม่ได้สร้างด้วย Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้
AWS SageMaker
Amazon SageMaker เวอร์ชันที่มีการอัปเดตพร้อมให้บริการแล้ว ลูกค้าที่ใช้คอนเทนเนอร์อัลกอริทึมหรือคอนเทนเนอร์เฟรมเวิร์กตามค่าเริ่มต้นของ Amazon SageMaker สำหรับการฝึกอบรม การปรับแต่ง การแปลงแบตช์ หรือตำแหน่งข้อมูล จะไม่ได้รับผลกระทบ ลูกค้าที่เรียกใช้งานการติดป้ายหรือการคอมไพล์ก็ไม่ได้รับผลกระทบเช่นกัน ลูกค้าที่ไม่ได้ใช้สมุดบันทึก Amazon SageMaker ในการเรียกใช้คอนเทนเนอร์ Docker จะไม่ได้รับผลกระทบ นอกจากนี้ สมุดบันทึก Amazon SageMaker ทั้งหมดที่เปิดใช้ในวันที่ 11 กุมภาพันธ์เป็นต้นไปที่มีอินสแตนซ์ CPU จะมีการอัปเดตล่าสุดรวมอยู่แล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ ตำแหน่งข้อมูล งานการติดป้าย การฝึกอบรม การปรับแต่ง การคอมไพล์ และงานแปลงแบตช์ทั้งหมดที่เปิดใช้ในวันที่ 11 กุมภาพันธ์เป็นต้นไป จะรวมถึงการอัปเดตล่าสุดและลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
AWS ขอแนะนำให้ลูกค้าที่เรียกใช้งานการฝึกอบรม การปรับแต่ง และงานแปลงแบตช์ที่มีโค้ดแบบกำหนดเองที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์ ควรหยุดงานเหล่านั้นและเริ่มต้นงานใหม่เพื่อให้มีการอัปเดตล่าสุดรวมอยู่ด้วย การดำเนินการดังกล่าวสามารถทำได้จากคอนโซล Amazon SageMaker หรือทำตามคำแนะนำที่นี่
Amazon SageMaker จะอัปเดตตำแหน่งข้อมูลทั้งหมดที่กำลังให้บริการให้เป็นซอฟต์แวร์ล่าสุดโดยอัตโนมัติทุกสี่สัปดาห์ คาดว่าตำแหน่งข้อมูลทั้งหมดที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์น่าจะได้รับการอัปเดตภายในวันที่ 11 มีนาคม หากมีปัญหาใดๆ กับการอัปเดตอัตโนมัติและลูกค้าจำเป็นต้องดำเนินการเพื่ออัปเดตตำแหน่งข้อมูลของตน Amazon SageMaker จะประกาศการแจ้งเตือนใน Personal Health Dashboard ของลูกค้า ลูกค้าที่ต้องการอัปเดตตำแหน่งข้อมูลของตนเร็วกว่านั้น สามารถอัปเดตตำแหน่งข้อมูลของตนได้ด้วยตนเองจากคอนโซล Amazon SageMaker หรือใช้การดำเนินการ UpdateEndpoint API ได้ทุกเวลา เราขอแนะนำให้ลูกค้าที่มีตำแหน่งข้อมูลที่เปิดใช้งานการปรับขยายอัตโนมัติ ใช้ความระมัดระวังเพิ่มเติมล่วงหน้าโดยทำตามคำแนะนำที่นี่
AWS ขอแนะนำให้ลูกค้าที่ใช้งานคอนเทนเนอร์ Docker ในสมุดบันทึก Amazon SageMaker ที่ทำงานด้วยอินสแตนซ์ CPU หยุดอินสแตนซ์ของสมุดบันทึก Amazon SageMaker ของตน และเริ่มใหม่เพื่อรับซอฟต์แวร์ที่ใช้งานได้ล่าสุด ซึ่งสามารถทำได้จากคอนโซล Amazon SageMaker หรืออีกวิธีหนึ่ง ลูกค้าสามารถหยุดอินสแตนซ์ของสมุดบันทึกก่อนโดยใช้ StopNotebookInstance API แล้วจึงเริ่มอินสแตนซ์ของสมุดบันทึกโดยใช้ StartNotebookInstance API
สมุดบันทึก Amazon SageMaker เวอร์ชันอัปเดตที่มีอินสแตนซ์ GPU จะใช้งานได้สำหรับลูกค้าในเวลาไม่นานหลังจากที่ออกแพตช์ Nvidia แล้ว กระดานข่าวนี้จะได้รับการอัปเดตเมื่อมีเวอร์ชันอัปเดต ลูกค้าที่ใช้งานคอนเทนเนอร์ Docker บนสมุดบันทึกที่มีอินสแตนซ์ GPU สามารถใช้มาตรการป้องกันได้โดยการหยุดอินสแตนซ์สมุดบันทึกของตนชั่วคราวผ่านทางคอนโซล หรือใช้ StopNotebookInstance API แล้วจึงเริ่มอินสแตนซ์สมุดบันทึกโดยใช้ StartNotebookInstance เมื่อเวอร์ชันอัปเดตใช้งานได้แล้ว
AWS RoboMaker
สภาพแวดล้อมการพัฒนา AWS RoboMaker เวอร์ชันอัปเดตจะใช้งานได้ในเวลาไม่นานหลังจากที่ Canonical และ Docker ออกแพตช์ กระดานข่าวนี้จะได้รับการอัปเดตเมื่อการอัปเดตใช้งานได้แล้ว สำหรับแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป AWS ขอแนะนำให้ลูกค้าที่ใช้สภาพแวดล้อมการพัฒนา RoboMaker รักษาสภาพแวดล้อม Cloud9 ของตนให้อัปเดตเป็นเวอร์ชันล่าสุด
AWS IoT Greengrass Core เวอร์ชันที่มีการอัปเดตจะพร้อมให้บริการในวันที่ 11 กุมภาพันธ์ 2019 กระดานข่าวนี้จะได้รับการอัปเดตเมื่อเวอร์ชันอัปเดตใช้งานได้แล้ว ลูกค้าทั้งหมดที่ใช้ RoboMaker Fleet Management ควรอัปเกรด Greengrass Core เป็นเวอร์ชันล่าสุด เมื่อ Greengrass Core ที่มีการอัปเดตพร้อมให้บริการแล้ว ลูกค้าควรปฏิบัติตามคำแนะนำเหล่านี้ เพื่อรับการอัปเดต
AWS Deep Learning AMI
AWS ขอแนะนำให้ลูกค้าที่เคยใช้ Docker กับ Deep Learning AMI หรือ Deep Learning Base AMI บน Amazon Linux เปิดใช้อินสแตนซ์ใหม่ของ AMI เวอร์ชันล่าสุด และเรียกใช้คำสั่งต่อไปนี้เพื่ออัปเกรด Docker:
sudo yum upgrade docker
Deep Learning Base AMI และ Deep Learning AMI เวอร์ชันอัปเดต จะพร้อมดาวน์โหลดได้หลังจากที่ออกแพตช์ด้านความปลอดภัยที่เกี่ยวข้องครบทั้งหมดแล้ว กระดานข่าวนี้จะได้รับการอัปเดตเมื่อ AMI เวอร์ชันใหม่พร้อมใช้งานแล้ว
สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
หลังจากการอัปเดต Docker บน Ubuntu ได้รับการเผยแพร่สำหรับปัญหาที่ระบุใน CVE-2019-5736 นั้น AWS ขอแนะนำให้ลูกค้าที่เคยใช้ Docker กับ Deep Learning AMI หรือ Deep Learning Base AMI บน Ubuntu เปิดใช้อินสแตนซ์ใหม่ของ AMI เวอร์ชันล่าสุด และปฏิบัติตามคำแนะนำเหล่านี้เพื่ออัปเกรด Docker (ตรวจดูให้แน่ใจว่าปฏิบัติตามขั้นตอนการติดตั้งครบถ้วน):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
นอกจากนี้ AWS ยังขอแนะนำให้ลูกค้าติดตามกระดานข่าวความปลอดภัยจาก Nvidia อีกด้วย เพื่อรับการอัปเดตเป็น nvidia-docker2 และผลิตภัณฑ์ที่เกี่ยวข้อง