คุณกำลังดูกระดานข่าวความปลอดภัยเวอร์ชันก่อนหน้า สำหรับเวอร์ชันล่าสุด กรุณาไปที่: "ปัญหาด้านความปลอดภัยของคอนเทนเนอร์ (CVE-2019-5736)"
11 กุมภาพันธ์ 2019 12:00 น. ตามเวลา PST
ตัวระบุ CVE: CVE-2019-5736
AWS ทราบถึงปัญหาด้านความปลอดภัยที่เพิ่งตรวจพบ ซึ่งกระทบระบบการจัดการคอนเทนเนอร์โอเพ่นซอร์สจำนวนมาก (CVE-2019-5736) ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เพื่อแก้ไขปัญหาดังกล่าว ยกเว้นบริการของ AWS ที่แสดงอยู่ด้านล่างนี้
Amazon Linux
Docker เวอร์ชันอัปเดตใช้งานได้สำหรับ Amazon Linux 2 (ALAS-2019-1156) และที่เก็บของ Amazon Linux AMI 2018.03 (ALAS-2019-1156) AWS ขอแนะนำให้ลูกค้าที่ใช้ Docker ใน Amazon Linux เปิดใช้อินสแตนซ์ใหม่จาก AMI เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Container Service (Amazon ECS)
AMI ที่ปรับให้เหมาะสมกับ Amazon ECS รวมทั้ง Amazon Linux AMI, Amazon Linux 2 AMI และ AMI ที่ปรับให้เหมาะสมกับ GPU ใช้งานได้แล้วในขณะนี้ ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า ECS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้อินสแตนซ์คอนเทนเนอร์ใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่อินสแตนซ์คอนเทนเนอร์ที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำในการแทนที่อินสแตนซ์คอนเทนเนอร์ที่มีอยู่ได้ในเอกสารประกอบ ECS สำหรับ Amazon Linux AMI, Amazon Linux 2 AMI และ AMI ที่ปรับให้เหมาะสมกับ GPU
ขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ AMI ที่ปรับให้เหมาะสมกับ ECS ปรึกษาผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI ของคุณ เพื่อขอรับการอัปเดตและคำแนะนำตามความจำเป็น สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
AMI ที่ปรับให้เหมาะสมกับ Amazon EKS ที่อัปเดตแล้วมีอยู่ใน AWS Marketplace ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า EKS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้โหนดผู้ปฏิบัติงานใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่โหนดผู้ปฏิบัติงานที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตโหนดผู้ปฏิบัติงานได้ในเอกสารประกอบ EKS
ลูกค้า Linux ที่ไม่ได้ใช้ AMI ที่ปรับให้เหมาะสมกับ EKS ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux
AWS Fargate
Fargate เวอร์ชันอัปเดตใช้งานได้สำหรับแพลตฟอร์มเวอร์ชัน 1.3 ที่แก้ไขปัญหาที่ได้อธิบายไว้ใน CVE-2019-5736 เวอร์ชันแก้ไขของแพลตฟอร์มเวอร์ชันเก่า (1.0.0, 1.1.0, 1.2.0) จะใช้งานได้ภายในวันที่ 15 มีนาคม 2019
ลูกค้าที่ใช้งานบริการของ Fargate ควรเรียกใช้ UpdateService โดยเปิดใช้งาน "--force-new-deployment" เพื่อเปิดใช้งานใหม่ทั้งหมดบนแพลตฟอร์มเวอร์ชันล่าสุด 1.3 ลูกค้าที่เรียกใช้งานที่ทำงานเอกเทศควรหยุดงานที่มีอยู่ แล้วเปิดใช้ใหม่โดยใช้เวอรฺ์ชันล่าสุด สามารถดูคำแนะนำเฉพาะได้ในเอกสารประกอบการอัปเดต Fargate
งานทั้งหมดที่ไม่ได้อัปเกรดเป็นเวอร์ชันแก้ไขจะถูกเลิกใช้ภายในวันที่ 19 เมษายน 2019 ลูกค้าที่ใช้งานที่ทำงานเอกเทศต้องเปิดใช้งานใหม่เพื่อแทนที่งานที่เลิกใช้แล้ว สามารถดูรายละเอียดเพิ่มเติมได้ในเอกสารประกอบการเลิกใช้งานของ Fargate
AWS IoT Greengrass
AWS IoT GreenGrass Core เวอร์ชันอัปเดตใช้งานได้สำหรับ 1.7.1 และ 1.6.1 เวอร์ชันอัปเดตต้องใช้คุณสมบัติที่มีอยู่ในเคอร์เนลของ Linux เวอร์ชัน 3.17 ขึ้นไป สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตเคอร์เนลของคุณได้ที่นี่
ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้าที่ใช้งาน GreenGrass Core เวอร์ชันใดก็ตามให้อัปเกรดเป็นเวอร์ชัน 1.7.1 สามารถดูคำแนะนำสำหรับการอัปเดตผ่านทางอากาศได้ที่นี่
AWS Batch
AMI ที่ปรับให้เหมาะสมกับ Amazon ECS ที่อัปเดตแล้วใช้งานได้โดยเป็น AMI สภาพแวดล้อมการประมวลผลตามค่าเริ่มต้น ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า Batch แทนที่สภาพแวดล้อมการประมวลผลที่มีอยู่ของตนด้วย AMI ที่ใช้งานได้ล่าสุด สามารถดูคำแนะนำสำหรับการเปลี่ยนสภาพแวดล้อมการประมวลผลได้ในเอกสารประกอบผลิตภัณฑ์ Batch
ลูกค้า Batch ที่ไม่ได้ใช้ AMI ตามค่าเริ่มต้น ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำสำหรับ AMI แบบกำหนดเองของ Batch ได้ในเอกสารประกอบผลิตภัณฑ์ Batch
AWS Elastic Beanstalk
แพลตฟอร์มเวอร์ชันที่ใช้ AWS Elastic Beanstalk Docker ใช้งานได้ ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในกำหนดเวลาการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการใดๆ นอกจากนี้ ลูกค้ายังสามารถอัปเดตได้ทันทีโดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ แล้วคลิกที่ปุ่ม "นำไปใช้ทันที" ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการสามารถอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนได้โดยทำตามคำแนะนำที่นี่
AWS Cloud9
สภาพแวดล้อม AWS Cloud9 เวอร์ชันอัปเดตที่มี Amazon Linux ใช้งานได้ ตามค่าเริ่มต้น ลูกค้าจะนำโปรแกรมแก้ไขด้านความปลอดภัยมาใช้ในการบูตครั้งแรก ลูกค้าที่มีสภาพแวดล้อม AWS Cloud9 ที่ใช้ EC2 ที่มีอยู่ควรเปิดใช้อินสแตนซ์ใหม่จาก AWS Cloud9 เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
ลูกค้า AWS Cloud9 ที่ใช้สภาพแวดล้อม SSH ที่ไม่ได้สร้างด้วย Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้
AWS SageMaker
Amazon SageMaker เวอร์ชันอัปเดตใช้งานได้ ลูกค้าที่ใช้คอนเทนเนอร์อัลกอริทึมหรือคอนเทนเนอร์เฟรมเวิร์กตามค่าเริ่มต้นของ Amazon SageMaker สำหรับการสอน การปรับแต่ง การแปลงแบตช์ หรือตำแหน่งข้อมูล จะไม่ได้รับผลกระทบ ลูกค้าที่เรียกใช้งานการติดป้ายหรือการคอมไพล์ก็ไม่ได้รับผลกระทบเช่นกัน ลูกค้าที่ไม่ได้ใช้โน๊คบุ๊ค Amazon SageMaker ในการเรียกใช้คอนเทนเนอร์ Docker จะไม่ได้รับผลกระทบ นอกจากนี้ โน๊ตบุ๊ค Amazon SageMaker ทั้งหมดที่เปิดใช้ในวันที่ 11 กุมภาพันธ์หรือหลังจากนั้นที่มีอินสแตนซ์ CPU จะมีการอัปเดตล่าสุดรวมอยู่แล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ ตำแหน่งข้อมูล งานการติดป้าย การสอน การปรับแต่ง และการแปลงแบตช์ทั้งหมดที่เปิดใช้ในวันที่ 11 กุมภาพันธ์หรือหลังจากนั้น จะมีการอัปเดตล่าสุดรวมอยู่แล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
AWS ขอแนะนำให้ลูกค้าที่เรียกใช้งานการสอน การปรับแต่ง และการแปลงแบตช์ที่มีโค้ดแบบกำหนดเองที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์ ควรหยุดงานเหล่านั้นและเริ่มต้นใหม่เพื่อให้มีการอัปเดตล่าสุดรวมอยู่ด้วย การดำเนินการดังกล่าวสามารถทำได้จากคอนโซล Amazon SageMaker หรือทำตามคำแนะนำที่นี่
Amazon SageMaker จะอัปเดตตำแหน่งข้อมูลทั้งหมดที่กำลังให้บริการให้เป็นซอฟต์แวร์ล่าสุดโดยอัตโนมัติทุกสี่สัปดาห์ คาดว่าตำแหน่งข้อมูลทั้งหมดที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์น่าจะได้รับการอัปเดตภายในวันที่ 11 มีนาคม หากมีปัญหาใดๆ กับการอัปเดตอัตโนมัติและลูกค้าจำเป็นต้องดำเนินการเพื่ออัปเดตตำแหน่งข้อมูลของตน Amazon SageMaker จะประกาศการแจ้งเตือนใน Personal Health Dashboard ของลูกค้า ลูกค้าที่ต้องการอัปเดตตำแหน่งข้อมูลของตนเร็วกว่านั้น สามารถอัปเดตตำแหน่งข้อมูลของตนได้ด้วยตนเองจากคอนโซล Amazon SageMaker หรือใช้การดำเนินการ UpdateEndpoint API ได้ทุกเวลา เราขอแนะนำให้ลูกค้าที่มีตำแหน่งข้อมูลที่เปิดใช้งานการปรับขยายอัตโนมัติ ใช้ความระมัดระวังเพิ่มเติมล่วงหน้าโดยทำตามคำแนะนำที่นี่
AWS ขอแนะนำให้ลูกค้าที่ใช้งานคอนเทนเนอร์ Docker ในโน๊ตบุ๊ค Amazon SageMaker ที่ทำงานด้วยอินสแตนซ์ CPU หยุดอินสแตนซ์ของโน๊ตบุ๊ค Amazon SageMaker ของตน และเริ่มใหม่เพื่อรับซอฟต์แวร์ที่ใช้งานได้ล่าสุด ซึ่งสามารถทำได้จากคอนโซล Amazon SageMaker หรืออีกวิธีหนึ่ง ลูกค้าสามารถหยุดอินสแตนซ์ของโน๊ตบุ๊คก่อนโดยใช้ StopNotebookInstance API แล้วจึงเริ่มอินสแตนซ์ของโน๊ตบุ๊คโดยใช้ StartNotebookInstance API
โน๊ตบุ๊ค Amazon SageMaker เวอร์ชันอัปเดตที่มีอินสแตนซ์ GPU จะใช้งานได้สำหรับลูกค้าในเวลาไม่นานหลังจากที่ออกโปรแกรมแก้ไข Nvidia แล้ว กระดานข่าวนี้จะได้รับการอัปเดตเมื่อมีเวอร์ชันอัปเดต ลูกค้าที่ใช้งานคอนเทนเนอร์ Docker บนโน๊ตบุ๊คที่มีอินสแตนซ์ GPU สามารถใช้มาตรการป้องกันได้โดยการหยุดอินสแตนซ์โน๊ตบุ๊คของตนชั่วคราวผ่านทางคอนโซล หรือใช้ StopNotebookInstance API แล้วจึงเริ่มอินสแตนซ์โน๊ตบุ๊คโดยใช้ StartNotebookInstance เมื่อเวอร์ชันอัปเดตใช้งานได้แล้ว
AWS RoboMaker
สภาพแวดล้อมการพัฒนา AWS RoboMaker เวอร์ชันอัปเดตจะใช้งานได้ในเวลาไม่นานหลังจากที่ Canonical และ Docker ออกโปรแกรมแก้ไข กระดานข่าวนี้จะได้รับการอัปเดตเมื่อการอัปเดตใช้งานได้แล้ว ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป AWS ขอแนะนำให้ลูกค้าที่ใช้สภาพแวดล้อมการพัฒนา RoboMaker รักษาสภาพแวดล้อม Cloud9 ของตนให้อัปเดตเป็นเวอร์ชันล่าสุด
AWS IoT Greengrass Core เวอร์ชันอัปเดตจะใช้งานได้ในวันที่ 11 กุมภาพันธ์ 2019 กระดานข่าวนี้จะได้รับการอัปเดตเมื่อเวอร์ชันอัปเดตใช้งานได้แล้ว ลูกค้าทั้งหมดที่ใช้การจัดการกลุ่มของ RoboMaker ควรอัปเกรด Greengrass Core เป็นเวอร์ชันล่าสุด เมื่อ Greengrass Core ที่อัปเดตใช้งานได้แล้ว ลูกค้าควรปฏิบัติตามคำแนะนำเหล่านี้ เพื่อรับการอัปเดต
AWS Deep Learning AMI
Deep Learning Base AMI และ Deep Learning AMI เวอร์ชันอัปเดตสำหรับ Amazon Linux ใช้งานได้ใน AWS Marketplace AWS ขอแนะนำให้ลูกค้าที่เคยใช้ Docker กับ Deep Learning AMI หรือ Deep Learning Base AMI เปิดใช้อินสแตนซ์ใหม่ของ AMI เวอร์ชันล่าสุด (v21.1 สำหรับ Deep Learning AMI และ v16.1 สำหรับ Deep Learning Base AMI บน Amazon Linux) สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux
AWS ขอแนะนำให้ลูกค้าที่เคยใช้ Docker กับ Deep Learning AMI หรือ Deep Learning Base AMI บน Ubuntu เปิดใช้อินสแตนซ์ใหม่ของ AMI เวอร์ชันล่าสุด และปฏิบัติตามคำแนะนำเหล่านี้เพื่ออัปเกรด Docker (ตรวจดูให้แน่ใจว่าปฏิบัติตามขั้นตอนการติดตั้งครบถ้วน)
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
Deep Learning Base AMI และ Deep Learning AMI เวอร์ชันอัปเดตสำหรับ Ubuntu จะพร้อมดาวน์โหลดได้หลังจากที่ออกโปรแกรมแก้ไขด้านความปลอดภัยที่เกี่ยวข้องครบทั้งหมดแล้ว กระดานข่าวนี้จะได้รับการอัปเดตเมื่อ AMI ที่อัปเดตใช้งานได้แล้ว
นอกจากนี้ AWS ยังขอแนะนำให้ลูกค้าติดตามกระดานข่าวความปลอดภัยจาก Nvidia อีกด้วย เพื่อรับการอัปเดตเป็น nvidia-docker2 และผลิตภัณฑ์ที่เกี่ยวข้อง